苹果修补macOS Catalina、旧版MacOS的任意程式码执行、沙箱漏洞

苹果上周释出macOS Catalina 10.15.7，以及针对前版Mac的安全更新，以修补macOS Catalina、High Sierra、Mojave版本的任意程式码执行、突破沙箱存取受保护档案等4项漏洞。也修补了iOS 14.0自动改掉用户预设第三方邮件及浏览器程式的问题。

macOS Catalina 10.15.7可能是Big Sur释出前最后一个Catalina更新版，仅修补了两项macOS Catalina 10.15.6的安全漏洞。第一项是CVE-2020-9973，这项由思科Talos安全小组发现的漏洞，同时也影响了iOS 及iPad 14.0。它导因于Model I/O元件对传入档案验证不足，可让攻击者传送恶意USD档加以开采，造成应用程序关闭或任意程式码执行。第二项漏洞为CVE-2020-9968，影响macOS的沙箱功能，可让恶意程式得以存取有存取限制的档案。这两项漏洞影响Catalina 10.15.6、及前代High Sierra 10.13.6及 macOS Mojave 10.14.6两个版本。

其他两项安全漏洞则不影响Catalina。其中编号CVE-2020-9961的漏洞位于Image I/O，如前述的CVE-2020-9973一样为频外读取（out-of-bounds read）漏洞，可造成应用程序关闭或任意程式码执行。这项漏洞影响High Sierra 10.13.6及 macOS Mojave 10.14.6。

CVE-2020-9941存在于Mail程式元件中，苹果只简短说明这项漏洞允许远端攻击者“修改应用状态”。这项漏洞仅影响High Sierra 10.13.6。

而在非安全功能方面，macOS Catalina‌ 10.15.7 则是修补了Mac电脑无法自动连上Wi-Fi、无法将档案同步到iCloud Drive上，以及影响今年新上市的iMac的Radeon Pro 5700 XT显卡问题。

此外，苹果上周也释出iOS 14.0.1及iPad 14.0.1。最新版修补了前述的CVE-2020-9973安全漏洞、iPhone/iPad无法连上Wi-Fi网络、以及会将用户设定为预设的第三方邮件程式、浏览器如Outlook、Chrome改回Mail、Safari的功能瑕疵。