Multiples vulnérabilités dans macOS

De multiples vulnérabilités ont été découvertes dans Apple macOS, et corrigées à l’occasion d’une mise à jour de sécurité. Celles-ci permettent à un attaquant (local ou distant) de produire des dysfonctionnements aux conséquences variées, allant d’une lecture de mémoire protégée à une exécution de code arbitraire avec les plus hauts niveaux de privilèges.

CVE-2020-3903 [Score CVSS v3 : 7.8] : Une vulnérabilité de type corruption de mémoire a été découverte dans le composant Apple HSSPI Support de macOS. Une application malveillante installée sur le système peut potentiellement exécuter du code arbitraire avec le niveau de privilèges du système.

CVE-2020-3904 [Score CVSS v3 : 7.8] : Une vulnérabilité de type corruption de mémoire a été découverte dans le composant AppleGraphicsControl de macOS. Une application malveillante installée sur le système peut potentiellement exécuter du code arbitraire avec les privilèges du système.

CVE-2020-3883 [Score CVSS v3 : 8.8] : Une vulnérabilité liée à des insuffisantes vérifications a été découverte dans le composant AppleMobileFileIntegrity de macOS. Une application malveillante installée sur le système peut potentiellement s’octroyer des privilèges arbitraires.

CVE-2020-3907, CVE-2020-3908, CVE-2020-3912 [Score CVSS v3 : 7.1] : De multiples vulnérabilités de type lecture hors-limite ont été découvertes dans le composant Bluetooth de macOS. Un attaquant local exploitant cette vulnérabilité peut provoquer un plantage du système (déni de service), ainsi que lire des sections mémoire sensibles du noyau du système d’exploitation.

CVE-2020-3892, CVE-2020-3893, CVE-2020-3905 [Score CVSS v3 : 7.8] : De multiples vulnérabilités de type corruption de mémoire ont été découvertes dans le composant Bluetooth de macOS. Une application malveillante installée sur le système peut potentiellement exécuter du code arbitraire avec les privilèges du système.

CVE-2019-8853 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité liée à des insuffisantes vérifications a été découverte dans le composant Bluetooth de macOS. Une application malveillante installée sur le système peut potentiellement lire des sections de la mémoire normalement protégées.

CVE-2020-9776 [Score CVSS v3 : 3.3] : Une vulnérabilité liée à une mauvaise gestion de permissions a été découverte dans le composant d’historique des appels de macOS. Une application malveillante installée sur le système peut potentiellement obtenir un accès en lecture à l’historique d’appel d’un utilisateur. 

CVE-2020-3913 [Score CVSS v3 : 7.8] : Une vulnérabilité de type élévation de privilèges a été découverte dans le composant CoreFundation de macOS. Une application malveillante installée sur le système peut potentiellement élever ses privilèges vers un niveau non-spécifié. 

CVE-2020-9773 [Score CVSS v3 : 3.3] : Une vulnérabilité liée à une mauvaise gestion du cache d’icônes de macOS  a été découverte. Une application malveillante installée sur le système peut potentiellement identifier quelles applications ont également été installées.

CVE-2019-14615 [Score CVSS v3 : 5.5] : Une vulnérabilité de type fuite d’informations a été découverte dans le pilote pour Intel Graphics de macOS. Une application malveillante installée sur le système peut potentiellement obtenir des informations sensibles stockées en mémoire.

CVE-2020-3919 [Score CVSS v3 : 7.8] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans le composant IOHIDFamily de macOS. Une application malveillante installée sur le système peut potentiellement exécuter du code arbitraire avec le niveau de privilèges du système.

CVE-2020-3851 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité de type “use after free” a été découverte dans le composant IOThunderboltFamily de macOS. Une application malveillante installée sur le système peut potentiellement élever ses privilèges vers un niveau non-spécifié.

CVE-2020-3914 [Score CVSS v3 : 5.5] : Une vulnérabilité liée à une mauvaise initialisation de mémoire a été découverte dans le noyau du système d’exploitation macOS. Une application malveillante installée sur le système peut potentiellement lire des sections de mémoire protégées du noyau.

CVE-2020-9785 [Score CVSS v3 : 7.8] : Une vulnérabilité de type corruption de mémoire a été découverte dans le noyau du système d’exploitation macOS. Une application malveillante installée sur le système peut potentiellement exécuter du code arbitraire avec le niveau de privilèges du noyau.

CVE-2020-3909, CVE-2020-3911, CVE-2020-3910 [Score CVSS v3 : 9.8] : De multiples vulnérabilités de type dépassement de tampon ont été découvertes dans le composant libxml2 de macOS. Un attaquant local exploitant cette vulnérabilité peut potentiellement exécuter du code arbitraire.

CVE-2020-3884 [Score CVSS v3 : 6.1] : Une vulnérabilité de type injection de code a été découverte dans le composant Mail de macOS. Un attaquant distant exploitant cette vulnérabilité peut potentiellement exécuter du code Javascript arbitraire.

CVE-2019-19232 [Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans le composant sudo de macOS. Un attaquant local exploitant cette vulnérabilité peut potentiellement exécuter des commandes en tant qu’un utilisateur non-existant.

CVE-2020-3906 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans le composant TCC de macOS. Une application malveillante installée sur le système peut potentiellement contourner des restrictions liées à la signature (authentification) de code.

CVE-2020-3889 [Score CVSS v3 : 5.5] : Une vulnérabilité a été découverte dans le composant Time Machine de macOS. Un attaquant local exploitant cette vulnérabilité peut potentiellement lire des fichiers arbitraires. 

CVE-2020-9769 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à de multiples problèmes non-spécifiés a été découverte dans le composant vim de macOS. Les conséquences d’une exploitation réussie ne sont pas spécifiées.