远程  macOS 主机上安装的 Foxit Reader 版本低于 4.1。因此，该应用程序受到代码注入或信息泄露漏洞的影响，这是因为在代码签名期间未启用强化运行时功能。

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程主机上正在运行的 macOS / Mac OS X 版本为低于 10.14.6 安全更新 2020-007 Mojave 的 10.14.x、低于 10.15.7 安全更新 2020-001 的 10.15.x，或低于 11.1 的 11.x。因此，该应用程序受到多个漏洞的影响，其中包括：

  - 处理恶意构建的音频文件可能会导致任意代码执行。（ CVE-2020-9960、CVE-2020-10017、CVE-2020-27908、CVE-2020-27910、CVE-2020-27916、CVE-2020-27948）

  - 处理恶意构建的图像可能会导致任意代码执行。（CVE-2020-9962、CVE-2020-27912、CVE-2020-27919、CVE-2020-27923、CVE-2020-27924、CVE-2020-29611、CVE-2020-29616、CVE-2020-29618）

  - 处理恶意构建的字体文件可能会导致任意代码执行。（CVE-2020-9956、CVE-2020-27922、CVE-2020-27931、CVE-2020-27943、CVE-2020-27944、CVE-2020-27952）

请注意，Nessus 并未测试此问题，而是只依靠操作系统自我报告的版本号。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 78.6。因此，该应用程序受到 mfsa2020-56 公告中提及的多个漏洞的影响。

  - Mozilla 开发人员 Christian Holler 报告了 Thunderbird 中存在的内存安全缺陷 78.5。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-35113)

  - 右移 BigInt 时未正确清除后备存储从而允许读取未初始化的内存。 (CVE-2020-16042)

  - 系统未正确限制用户提供的某些 blit 值，从而导致某些视频驱动程序上出现堆缓冲区溢出。(CVE-2020-26971)

  - CSS 审查器的某些输入将其混淆，从而导致删除不正确的组件。这可被用作审查器绕过。(CVE-2020-26973)

  - 在表封装程序中使用 <code>flex-basis</code> 时 <code>StyleGenericFlexBasis</code> 对象可能被错误地转换为错误的类型。这会导致堆释放后使用、内存损坏和潜在可利用的崩溃。(CVE-2020-26974)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 84.0。因此，该应用程序受到 mfsa2020-54 公告中提及的多个漏洞的影响。

  - IPCactor 的生命周期允许受管理的actor 的寿命比管理器actor 的寿命长前者必须确保没有尝试使用引用的失效actor。WebGL 中忽略此类检查从而导致释放后使用和潜在可利用的崩溃。 (CVE-2020-26972)

  - 右移 BigInt 时未正确清除后备存储从而允许读取未初始化的内存。 (CVE-2020-16042)

  - 系统未正确限制用户提供的某些 blit 值，从而导致某些视频驱动程序上出现堆缓冲区溢出。(CVE-2020-26971)

  - CSS 审查器的某些输入将其混淆，从而导致删除不正确的组件。这可被用作审查器绕过。(CVE-2020-26973)

  - 在表封装程序中使用 <code>flex-basis</code> 时 <code>StyleGenericFlexBasis</code> 对象可能被错误地转换为错误的类型。这会导致堆释放后使用、内存损坏和潜在可利用的崩溃。(CVE-2020-26974)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 78.6。因此，如公告 mfsa2020-55 所述，该主机受到多个漏洞的影响。

  - Mozilla 开发人员 Christian Holler 报告 Firefox 83 和 Firefox ESR 78.5 中存在的内存安全错误。
    其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-35113)

  - 右移 BigInt 时未正确清除后备存储从而允许读取未初始化的内存。 (CVE-2020-16042)

  - 系统未正确限制用户提供的某些 blit 值，从而导致某些视频驱动程序上出现堆缓冲区溢出。(CVE-2020-26971)

  - CSS 审查器的某些输入将其混淆，从而导致删除不正确的组件。这可被用作审查器绕过。(CVE-2020-26973)

  - 在表封装程序中使用 <code>flex-basis</code> 时 <code>StyleGenericFlexBasis</code> 对象可能被错误地转换为错误的类型。这会导致堆释放后使用、内存损坏和潜在可利用的崩溃。(CVE-2020-26974)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Reader 版本低于或为 2017.011.30180、2020.001.30010 或 2020.013.20066。因此，该操作系统受到漏洞的影响。

  - Acrobat Reader DC 2020.013.20066 版（和更早版本）、2020.001.30010 版（和更早版本）以及 2017.011.30180 版（和更早版本）受到信息泄露漏洞的影响，允许攻击者获得 DNS 交互，并跟踪用户是否已打开或关闭从文件系统无提示加载的 PDF 文件。利用此漏洞需要用户交互。(CVE-2020-29075)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程 macOS 主机上安装的 Adobe Acrobat 版本低于或为 2017.011.30180、2020.001.30010 或 2020.013.20066。因此，该操作系统受到漏洞的影响。

  - Acrobat Reader DC 2020.013.20066 版（和更早版本）、2020.001.30010 版（和更早版本）以及 2017.011.30180 版（和更早版本）受到信息泄露漏洞的影响，允许攻击者获得 DNS 交互，并跟踪用户是否已打开或关闭从文件系统无提示加载的 PDF 文件。利用此漏洞需要用户交互。(CVE-2020-29075)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程 macOS 或 Mac OS X 主机上安装了 Adobe Prelude，这是一种摄取和日志记录工具，用于使用元数据标记媒体，以进行搜索、后期制作工作流和素材生命周期管理。

远程主机上运行的 macOS / Mac OS X 版本为低于 10.13.6 安全更新 2020-006 High Sierra 的 10.13.x，或低于 10.14.6 安全更新 2020-006 Mojave 的 10.14.x。因此，该服务器受到多个漏洞的影响：

  - 处理恶意构建的字体可能会导致任意代码执行。(CVE-2020-27930)

  - 恶意应用程序可能以内核权限执行任意代码。(CVE-2020-27932)

  - 恶意应用程序可能能够确定内核内存。(CVE-2020-27950)

请注意，Nessus 并未测试此问题，而是只依靠操作系统自我报告的版本号。

远程 macOS 主机上安装的 Google Chrome 版本低于 87.0.4280.88。因此，该浏览器受到 2020_12_stable-channel-update-for-desktop 公告中提及的多个漏洞的影响。

  - 87.0.4280.88 之前版本的 Google Chrome 扩展中的释放后使用允许远程攻击者通过构建的 HTML 页面潜在地利用堆损坏。 (CVE-2020-16039)

  - 87.0.4280.88 之前版本的 Google Chrome 中剪贴板中的释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-16037)

  - 87.0.4280.88 之前的 OS X 上 Google Chrome 媒体中的释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-16038)

  - 87.0.4280.88 之前版本的 Google Chrome 中 V8 的数据验证不足允许远程攻击者通过构建的 HTML 页面潜在地利用堆损坏。 (CVE-2020-16040)

  - 在 87.0.4280.88 之前版本的 Google Chrome 中网络中存在越界读取这允许已危害渲染器进程的远程攻击者通过构建的 HTML 页面从进程内存获取潜在的敏感信息。 (CVE-2020-16041)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 78.5.1。因此，该应用程序受到 mfsa2020-53 公告中提及的漏洞的影响。

  - 读取 SMTP 服务器状态代码时，Thunderbird 将整数值写入堆栈中本打算只包含一个字节的位置。根据处理器架构和堆栈布局这可能会导致可利用的堆栈损坏。 (CVE-2020-26970)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 VMware Fusion 版本为低于 11.5.7 的 11.x。因此，该应用程序受到 XHCI USB 控制器中释放后使用错误的影响。如果未经身份验证的本地攻击者在虚拟机上拥有管理权限，则可能利用此问题，在主机运行虚拟机的 VMX 进程时执行代码。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

远程 macOS 或 Mac OS X 主机上已安装开源办公应用套件 OpenOffice。

远程 macOS 或 Mac OS X 主机上安装的 VMware Fusion 版本为低于 11.5.6 的 11.0.x。因此，该应用程序受到以下漏洞的影响：

  - 存在与 ACPI 设备处理相关的检查时间使用时间缺陷，经过身份验证的管理员可利用此缺陷，通过 vmx 进程泄露内存。(CVE-2020-3981)

  - 存在与 ACPI 设备处理相关的检查时间使用时间缺陷，经过身份验证的管理员可利用此缺陷，造成 vmx 进程崩溃或虚拟机管理程序内存堆损坏。
    (CVE-2020-3982)

  - 存在与 VMCI 主机驱动程序有关的不明缺陷，具有虚拟机访问权限的攻击者可利用此缺陷，通过资源耗尽造成拒绝服务情况。
    (CVE-2020-3995)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

远程主机上运行的 macOS/Mac OS X 版本为低于 11.0.1 的 11.0.x。因此，该应用程序受到多个漏洞的影响，其中包括：

  - 越界写入问题，可在打开恶意构建的 PDF 文件时导致应用程序意外终止或任意代码执行。(CVE-2020-9876)

  - 未充分验证输入造成的越界写入，可在处理恶意构建的图像时导致任意代码执行。(CVE-2020-9883)

  - 远程攻击者或可意外更改邮件应用程序日期，这是未充分检查所致。
    (CVE-2020-9941)

请注意，Nessus 并未测试此问题，而是只依靠操作系统自我报告的版本号。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 78.5。因此，该应用程序受到 mfsa2020-52 公告中提及的多个漏洞的影响。

  - Mozilla 开发人员 Steve Fink、Jason Kratzer、Randell Jesup、Christian Holler 和 Byron Campen 报告 Thunderbird 中存在内存安全缺陷 78.4。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
    (CVE-2020-26968)

  - 在 Freetype 中如果 PNG 图像嵌入字体中 <code>LoadSBitPng</code> 函数包含一个整数溢出导致堆缓冲区溢出、内存损坏和可利用的崩溃。注意：
    虽然 Project Zero 发现此漏洞在通常环境中被用于 Chrome 的利用实例但在 Thunderbird 中此漏洞仅在切换很少使用的隐藏首选项时才可触发且仅影响 Linux 和 Android 操作系统。其他操作系统不受影响
    在默认配置中，Linux 和 Android 不受影响。 (CVE-2020-15999)

  - Thunderbird 的 SVG 代码中的一个解析和事件加载不匹配即使在审查之后也可允许触发加载事件。已经能够利用特权内部页面中的 XSS 漏洞的攻击者可以利用此攻击绕过我们的内置杀毒软件。(CVE-2020-26951)

  - 在未知的跨源图像上绘制透明图像时Skia 库 <code>drawImage</code> 函数所需花费的时间会根据底层图像的内容而定。这可导致通过时序边信道攻击，潜在的跨源图像内容信息泄露。(CVE-2020-16012)

  - 可导致浏览器进入全屏模式而不显示安全 UI从而使得可能进行钓鱼攻击尝试或以其他方式混淆用户。 (CVE-2020-26953)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 78.5。因此，该应用程序受到 mfsa2020-51 公告中提及的多个漏洞的影响。

  - Mozilla 开发人员 Steve Fink、Jason Kratzer、Randell Jesup、Christian Holler 和 Byron Campen 报告了 Firefox 82 和 Firefox ESR 中存在的内存安全缺陷 78.4。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-26968)

  - 在 Freetype 中如果 PNG 图像嵌入字体中 <code>LoadSBitPng</code> 函数包含一个整数溢出导致堆缓冲区溢出、内存损坏和可利用的崩溃。注意：
    虽然 Project Zero 确实发现此漏洞在通常环境中针对 Chrome 所利用的实例但在 Firefox 中此漏洞仅在切换很少使用的隐藏首选项时才可触发且仅影响 Linux 和 Android 操作系统。其他操作系统不受影响在默认配置中，Linux 和 Android 不受影响。 (CVE-2020-15999)

  - Firefox 的 SVG 代码中的解析和事件加载不匹配可导致触发加载事件，即使在经过清理之后亦是如此。已经能够利用特权内部页面中的 XSS 漏洞的攻击者可以利用此攻击绕过我们的内置杀毒软件。(CVE-2020-26951)

  - 在未知的跨源图像上绘制透明图像时Skia 库 <code>drawImage</code> 函数所需花费的时间会根据底层图像的内容而定。这可导致通过时序边信道攻击，潜在的跨源图像内容信息泄露。(CVE-2020-16012)

  - 可导致浏览器进入全屏模式而不显示安全 UI从而使得可能进行钓鱼攻击尝试或以其他方式混淆用户。 (CVE-2020-26953)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 83.0。因此，该应用程序受到 mfsa2020-50 公告中提及的多个漏洞的影响。

  - Mozilla 开发人员 Tyson Smith、Aaron Klotz、David major 和 Jason Kratzer 报告 Firefox 82 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-26969)

  - 在 Freetype 中如果 PNG 图像嵌入字体中 <code>LoadSBitPng</code> 函数包含一个整数溢出导致堆缓冲区溢出、内存损坏和可利用的崩溃。注意：
    虽然 Project Zero 确实发现此漏洞在通常环境中针对 Chrome 所利用的实例但在 Firefox 中此漏洞仅在切换很少使用的隐藏首选项时才可触发且仅影响 Linux 和 Android 操作系统。其他操作系统不受影响在默认配置中，Linux 和 Android 不受影响。 (CVE-2020-15999)

  - Firefox 的 SVG 代码中的解析和事件加载不匹配可导致触发加载事件，即使在经过清理之后亦是如此。已经能够利用特权内部页面中的 XSS 漏洞的攻击者可以利用此攻击绕过我们的内置杀毒软件。(CVE-2020-26951)

  - JIT 编译期间对内联函数的错误簿记可导致内存损坏并且在处理内存不足错误时可能会利用此漏洞。 (CVE-2020-26952)

  - 在未知的跨源图像上绘制透明图像时Skia 库 <code>drawImage</code> 函数所需花费的时间会根据底层图像的内容而定。这可导致通过时序边信道攻击，潜在的跨源图像内容信息泄露。(CVE-2020-16012)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装了 Node.js。

远程 Mac OS X 主机上安装了一种数据库管理工具 MySQL。

远程 macOS 主机上安装的 Google Chrome 版本低于 86.0.4240.198。因此，该应用程序受到 2020_11_stable-channel-update-for-desktop_11 公告中提及的多个漏洞的影响。

  - 86.0.4240.198 之前版本的 Google Chrome 的站点隔离中的释放后使用允许已危害渲染器进程的远程攻击者可能通过构建的 HTML 页面执行沙盒逃逸。
    (CVE-2020-16017)

  - 在 86.0.4240.198 之前版本的 Google Chrome 中，V8 中存在不当实现漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。(CVE-2020-16013)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

MacOS 上的 Microsoft Office 受到一个安全绕过漏洞的影响。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 3.2.8。因此，该软件受到 wireshark-3.2.8 公告中提及的多个漏洞的影响。

  - 在 3.2.7 之前的 Wireshark 版本中，Facebook 零通信协议（亦称 FBZERO）分析器可能会进入无限循环。此漏洞已在 epan/dissectors/packet-fbzero.c 中通过修正偏移量提升的实现得以解决。(CVE-2020-26575)

  - 在 Wireshark 3.2.0 到 3.2.7 版本中，GQUIC 分析器可能会崩溃。此漏洞已在 epan/dissectors/packet-gquic.c 中通过修正偏移量提升的实现得以解决。(CVE-2020-28030)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程 macOS 主机上安装的 Google Chrome 版本低于 86.0.4240.193。因此，该浏览器受到 2020_11_stable-channel-update-for-desktop_9 公告中提及的漏洞的影响。

  - 86.0.4240.193 之前版本的 Google Chrome 库中不当的实现允许入侵渲染器进程的远程攻击者通过特制的 HTML 页面执行沙盒逃逸。
    (CVE-2020-16016)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 78.4.1。因此，该应用程序受到 mfsa2020-49 公告中提及的一个漏洞的影响。

  - 在某些情况下，未满足的假设可能会发出 MCallGetProperty opcode，造成可利用的释放后使用情况。 (CVE-2020-26950)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 82.0.3。因此，该应用程序受到 mfsa2020-49 公告中提及的一个漏洞的影响。

  - 在某些情况下，未满足的假设可能会发出 MCallGetProperty opcode，造成可利用的释放后使用情况。 (CVE-2020-26950)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 macOS 主机上安装的 Adobe Acrobat 版本低于 2017.011.30180、2020.001.30010 或 2020.013.20064。因此该软件受到多个漏洞的影响。

  - Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）以及 2017.011.30175 版（和更早版本）受到 Format 事件操作操作中一个释放后使用漏洞影响，可能导致在当前用户环境中执行任意代码。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2020-24437)

  - Adobe Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）以及 2017.011.30175 版（和更早版本）受到本地特权提升漏洞的影响，允许没有管理员权限的用户删除任意文件并可能以 SYSTEM 权限执行任意代码。要利用此问题，攻击者须对受害者进行社交工程，或者攻击者必须已经获得对环境的某些访问权限。(CVE-2020-24433)

  - Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）以及 2017.011.30175 版（和更早版本）受到 submitForm 函数中一个基于堆的缓冲区溢出漏洞影响，可能导致在当前用户的上下文中执行任意代码。利用此问题需要用户交互，受害者必须在 Acrobat Reader 中打开特制的 .pdf 文件。
    (CVE-2020-24435)

  - Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）、2017.011.30175 版（和更早版本）以及 Adobe Acrobat Pro DC 2017.011.30175 版（和更早版本）受到不当输入验证漏洞的影响，可导致在当前用户环境中执行任意 JavaScript。要利用此问题，攻击者必须获取并修改受害者信任的经认证的 PDF 文档。然后，攻击者需要诱使受害者打开此文档。
    (CVE-2020-24432)

  - 适用于 macOS 的 Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）以及 2017.011.30175 版（和更早版本）受到安全功能绕过漏洞影响。尽管实际安全影响极小，但已实现深度防御补丁，以进一步加强此 Adobe Reader 更新过程。(CVE-2020-24439)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Reader 版本低于 2017.011.30180、2020.001.30010 或 2020.013.20064。因此该软件受到多个漏洞的影响。

  - Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）以及 2017.011.30175 版（和更早版本）受到 Format 事件操作操作中一个释放后使用漏洞影响，可能导致在当前用户环境中执行任意代码。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2020-24437)

  - Adobe Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）以及 2017.011.30175 版（和更早版本）受到本地特权提升漏洞的影响，允许没有管理员权限的用户删除任意文件并可能以 SYSTEM 权限执行任意代码。要利用此问题，攻击者须对受害者进行社交工程，或者攻击者必须已经获得对环境的某些访问权限。(CVE-2020-24433)

  - Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）以及 2017.011.30175 版（和更早版本）受到 submitForm 函数中一个基于堆的缓冲区溢出漏洞影响，可能导致在当前用户的上下文中执行任意代码。利用此问题需要用户交互，受害者必须在 Acrobat Reader 中打开特制的 .pdf 文件。
    (CVE-2020-24435)

  - Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）、2017.011.30175 版（和更早版本）以及 Adobe Acrobat Pro DC 2017.011.30175 版（和更早版本）受到不当输入验证漏洞的影响，可导致在当前用户环境中执行任意 JavaScript。要利用此问题，攻击者必须获取并修改受害者信任的经认证的 PDF 文档。然后，攻击者需要诱使受害者打开此文档。
    (CVE-2020-24432)

  - 适用于 macOS 的 Acrobat Reader DC 2020.012.20048 版（和更早版本）、2020.001.30005 版（和更早版本）以及 2017.011.30175 版（和更早版本）受到安全功能绕过漏洞影响。尽管实际安全影响极小，但已实现深度防御补丁，以进一步加强此 Adobe Reader 更新过程。(CVE-2020-24439)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 3.2.8。因此，该主机受到公告 wireshark-3.2.8 中提及的多个漏洞的影响。

  - 将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件可导致 GQUIC 协议解析器崩溃。

  - 将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件可导致 FBZERO 协议解析器崩溃。
 请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 86.0.4240.183。因此，如公告 2020_11_stable-channel-update-for-desktop 所述，受到多个漏洞的影响。

  - Windows 版 Google Chrome 86.0.4240.183 之前版本的 UI 中存在堆缓冲区溢出，已破坏渲染器进程的远程攻击者可利用此问题，有可能通过构建的 HTML 页面执行沙盒逃逸。
    (CVE-2020-16011)

  - Google Chrome 86.0.4240.183 之前版本的用户界面中存在释放后使用，远程攻击者可利用此问题，有可能通过构建的 HTML 页面来利用堆损坏。(CVE-2020-16004)

  - Google Chrome 86.0.4240.183 之前版本的 ANGLE 中存在策略执行不充分，远程攻击者可利用此问题，有可能通过构建的 HTML 页面来利用堆损坏。(CVE-2020-16005)

  - Google Chrome 86.0.4240.183 之前版本的 V8 中存在不当实现，远程攻击者可利用此问题，有可能通过构建的 HTML 页面来利用堆损坏。（CVE-2020-16006、CVE-2020-16009）

  - Google Chrome 86.0.4240.183 之前版本的安装程序中存在数据验证不充分，本地攻击者可利用此问题，有可能通过构建的文件系统提升权限。(CVE-2020-16007)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 78.4。因此，该浏览器受到 mfsa2020-47 公告中提及的多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Jason Kratzer、Simon Giesecke、Philipp 和 Christian Holler 报告 Thunderbird 中存在内存安全缺陷 78.3。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-15683)

  - 上游报告了 usersctp 库中存在一个释放后使用缺陷。我们假设这可导致内存损坏和潜在可利用的崩溃。 (CVE-2020-15969)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 86.0.4240.111。因此，该浏览器受到 2020_10_stable-channel-update-for-desktop_20 公告中提及的多个漏洞的影响。

  - 86.0.4240.111 之前版本的 Google Chrome 中打印中的释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-16003)

  - 在 86.0.4240.111 之前的 Google Chrome 版本中，Freetype 中存在堆缓冲区溢出漏洞，使远程攻击者有可能通过构建的 HTML 页面来利用堆损坏。(CVE-2020-15999)

  - 在低于 86.0.4240.111 的Google Chrome 中Blink 实现不当允许远程攻击者可能通过特别构建的 HTML 页面利用堆损坏漏洞。 (CVE-2020-16000)

  - Google Chrome 86.0.4240.111 之前版本的媒体元素中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。(CVE-2020-16001)

  - 86.0.4240.111 之前版本的 Google Chrome 的 PDFium 中的释放后使用允许远程攻击者可能通过特制的 PDF 文件利用堆损坏。 (CVE-2020-16002)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 82.0。因此，该浏览器受到 mfsa2020-45 公告中提及的多个漏洞的影响。

  - Mozilla 开发人员 Christian Holler、Sebastian Hengst、Bogdan Tara 和 Tyson Smith 报告 Firefox 81 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-15684)

  - 上游报告了 usersctp 库中存在一个释放后使用缺陷。我们假设这可导致内存损坏和潜在可利用的崩溃。 (CVE-2020-15969)

  - 在 crossbeam rust 板条箱中受限的通道错误地假设 Vec::fromiter 已分配与迭代器元素数相同的容量。Vec::fromiter 实际上并不能保证这一点并且可能分配额外的内存。有界通道的析构函数根据错误的假设从原始指针重建 Vec - 这是不健全的做法并且会在 Vec::fromiter 分配的大小与迭代器元素的数量不同时导致以错误的容量进行解除分配。Firefox 所受影响不明但在另一个使用案例中此行为可造成 jemalloc 结构损坏。 (CVE-2020-15254)

  - 如果图像标签中引用了有效的外部协议处理程序，则生成的损坏图像大小可与不存在的协议处理程序的损坏图像大小区分开来。这允许攻击者成功探查是否注册外部协议处理程序。 (CVE-2020-15680)

  - 当多个 WASM 线程引用某个模块并查找导出的函数时一个 WASM 线程可能在共享的 stub 表中覆盖另一个条目从而导致可能会遭到恶意利用的崩溃。 (CVE-2020-15681)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 78.4。因此，该浏览器受到 mfsa2020-46 公告中提及的多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Jason Kratzer、Simon Giesecke、Philipp 和 Christian Holler 报告 Firefox 81 和 Firefox ESR 中存在内存安全缺陷 78.3。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-15683)

  - 上游报告了 usersctp 库中存在一个释放后使用缺陷。我们假设这可导致内存损坏和潜在可利用的崩溃。 (CVE-2020-15969)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Adobe Flash Player 版本为 32.0.0.433 或低于此版本。因此会受到空指针取消引用缺陷的影响。未经身份验证的远程攻击者可利用此问题，在 HTTP 响应中插入恶意字符串，进而在当前用户的环境中执行任意代码。

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 Microsoft Office 产品缺少安全更新。因此，该应用程序受到多个漏洞的影响：

  - Base3D 渲染引擎处理内存时，存在远程代码执行漏洞。成功利用此漏洞的攻击者可获得受害者系统的执行权。(CVE-2020-16918)

  - Microsoft Excel 软件未正确处理内存中对象时，其中存在远程代码执行漏洞。成功利用此漏洞的攻击者可在当前用户环境中运行任意代码。(CVE-2020-16929)

  - Microsoft Word 软件未正确处理 .LNK 文件时，存在安全性功能绕过漏洞。成功利用该漏洞的攻击者可在当前用户的安全环境中使用特别构建的文件来执行操作。(CVE-2020-16933)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 86.0.4240.75。因此，该浏览器受到 2020_10_stable-channel-update-for-desktop 公告中提及的多个漏洞的影响。

  - 在 86.0.4240.75 之前版本的 Google Chrome 中网络中的策略执行不充分如果远程攻击者已破坏渲染器进程则可允许远程攻击者通过构建的 HTML 页面绕过同源策略。
    (CVE-2020-15992)

  - 86.0.4240.75 之前版本的 Google Chrome 支付中的释放后使用允许远程攻击者可能通过构建的 HTML 页面执行沙盒逃逸。 (CVE-2020-15967)

  - 86.0.4240.75 之前版本的 Google Chrome 的 Blink 中存在释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-15968)

  - 在 Google Chrome 86.0.4240.75 之前的版本中，WebRTC 中存在释放后使用漏洞，使远程攻击者有可能通过构建的 HTML 页面来利用堆损坏。(CVE-2020-15969)

  - 86.0.4240.75 之前版本的 Google Chrome 中 NFC 的释放后使用允许已危害渲染器进程的远程攻击者通过特制的 HTML 页面执行沙盒逃逸。 (CVE-2020-15970)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装了商业防病毒软件程序包 ESET Cyber Security。

远程 macOS 主机上安装了包含多个选用模块的安全应用程序 McAfee Endpoint Security。

远程主机上正在运行的 macOS / Mac OS X 版本为低于 10.13.6 Security Update 2020-004 的 10.13.x、低于 10.14.6 Security Update 2020-004 的 10.14.x，或低于 10.15.6 的 10.15.x。因此，该应用程序受到多个漏洞的影响，具体如下：

  - 在 Linux、FreeBSD、OpenBSD、MacOS、iOS 和 Android 中发现了一个漏洞，该漏洞可允许恶意接入点或邻近用户判断连接的用户是否在使用 VPN，对他们正在访问的网站进行正推断，以及确定所使用的正确序列和确认编号，从而允许危险分子将数据注入 TCP 流。这为攻击者提供了劫持 VPN 隧道内活动连接所需的所有资源。(CVE-2019-14899)

  - cyrus-sasl（也称为 Cyrus SASL）2.1.27 存在越界写入，可通过畸形 LDAP 数据包造成 OpenLDAP 中未经身份验证的远程拒绝服务。cyrus-sasl 内 common.c 的 _sasl_add_string 中的差一错误最终会导致 OpenLDAP 崩溃。 (CVE-2019-19906)

  - 在 8.1.0881 之前版本的 Vim 中，用户可避开 rvim 受限模式并通过脚本接口（如 Python、Ruby 或 Lua）执行任意 OS 命令。(CVE-2019-20807)

  rsync 3.1.1 允许远程攻击者通过对同步路径中的文件发动符号链接攻击，写入任意文件。(CVE-2014-9512)

请注意，Nessus 并未测试此问题，而是只依靠操作系统自我报告的版本号。

远程主机上正在运行的 macOS / Mac OS X 版本为低于 10.13.6 Security Update 2020-005 的 10.13.x、低于 10.14.6 Security Update 2020-005 的 10.14.x，或低于 10.15.7 的 10.15.x。因此该主机会受到多个漏洞的影响，具体如下：

  - 处理恶意制作的图像可能会导致任意代码执行。(CVE-2020-9961)

  - 远程攻击者可以意外更改应用程序状态。(CVE-2020-9941)

  - 处理恶意构建的 USD 文件可能导致非预期应用程序终止或任意代码执行。(CVE-2020-9973)

  - 恶意应用程序可能能够访问受限制的文件。(CVE-2020-9968)

请注意，Nessus 并未测试此问题，而是只依靠操作系统自我报告的版本号。

远程 macOS 主机上安装了商业防病毒软件程序包 Symantec Endpoint Protection。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 2.6.20。因此，该应用程序受到 wireshark-2.6.20 公告中提及的多个漏洞的影响。

  - MIME Multipart 分析器可能崩溃。可能通过将畸形数据包注入线路中或诱骗某人读取畸形数据包跟踪文件，进而导致 Wireshark 崩溃。
    (CVE-2020-25863)

  - TCP 分析器可能崩溃。可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件，进而导致 Wireshark 崩溃。(CVE-2020-25862)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 3.0.14。因此，该应用程序受到 wireshark-3.0.14 公告中提及的多个漏洞的影响。

  - MIME Multipart 分析器可能崩溃。可能通过将畸形数据包注入线路中或诱骗某人读取畸形数据包跟踪文件，进而导致 Wireshark 崩溃。
    (CVE-2020-25863)

  - TCP 分析器可能崩溃。可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件，进而导致 Wireshark 崩溃。(CVE-2020-25862)

  - BLIP 分析器可能崩溃。可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件，进而导致 Wireshark 崩溃。(CVE-2020-25866)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

远程 macOS 或 Mac OS X 主机上安装的 VMware Fusion 版本为 11.x。因此，该应用程序受到权限提升漏洞的影响，这是其允许配置系统范围路径的方式所致。经过身份验证且具有普通用户权限的本地攻击者可利用此问题，诱骗 admin 用户在安装了 Fusion 的系统上执行恶意代码。

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 3.2.7。因此，该应用程序受到 wireshark-3.2.7 公告中提及的多个漏洞的影响。

  - MIME Multipart 分析器可能崩溃。可能通过将畸形数据包注入线路中或诱骗某人读取畸形数据包跟踪文件，进而导致 Wireshark 崩溃。
    (CVE-2020-25863)

  - TCP 分析器可能崩溃。可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件，进而导致 Wireshark 崩溃。(CVE-2020-25862)

  - BLIP 分析器可能崩溃。可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件，进而导致 Wireshark 崩溃。(CVE-2020-25866)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 78.3。因此，如公告 mfsa2020-43 所述，其会受到多个漏洞的影响。

  - 在滚动过程中递归图形层时，迭代器可能会无效，从而导致潜在的释放后使用。发生此问题的原因是函数 <code>APZCTreeManager::ComputeClippedCompositionBounds</code> 未遵循迭代器无效规则。
    (CVE-2020-15678)

  - 通过利用网站上的开放重定向漏洞，攻击者可以伪造下载文件对话框中显示的站点，以显示原始站点（遭受开放重定向的站点），而不是实际下载文件的站点。(CVE-2020-15677)

  - Firefox 有时会为 DOM 审查器决定删除的 SVG 元素运行 onload 处理程序，从而导致在将攻击者控制的数据粘贴到可编辑内容的元素后执行 JavaScript。(CVE-2020-15676)

  - Mozilla 开发人员 Jason Kratzer 报告 Firefox 80 和 Firefox ESR 78.2 中存在内存安全错误。
    其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-15673)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 81.0。因此，如公告 mfsa2020-42 所述，其会受到多个漏洞的影响。

  - 在滚动过程中递归图形层时，迭代器可能会无效，从而导致潜在的释放后使用。发生此问题的原因是函数 <code>APZCTreeManager::ComputeClippedCompositionBounds</code> 未遵循迭代器无效规则。
    (CVE-2020-15678)

  - 处理表面时生命周期可能超过持久性缓冲区的寿命从而导致内存损坏和潜在可利用的崩溃。 (CVE-2020-15675)

  - 通过利用网站上的开放重定向漏洞，攻击者可以伪造下载文件对话框中显示的站点，以显示原始站点（遭受开放重定向的站点），而不是实际下载文件的站点。(CVE-2020-15677)

  - Firefox 有时会为 DOM 审查器决定删除的 SVG 元素运行 onload 处理程序，从而导致在将攻击者控制的数据粘贴到可编辑内容的元素后执行 JavaScript。(CVE-2020-15676)

  - Mozilla 开发人员 Jason Kratzer 报告 Firefox 80 和 Firefox ESR 78.2 中存在内存安全错误。
    其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-15673)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 85.0.4183.121。因此，如公告 2020_09_stable-channel-update-for-desktop_21 所述，其会受到多个漏洞的影响。

  - 在 85.0.4183.121 版本之前的 Google Chrome 中， V8 中存在类型混淆，远程攻击者可能利用此问题，通过构建的 HTML 页面执行越界内存访问。(CVE-2020-15965)

  - 在 85.0.4183.121 版本之前的 Google Chrome 中，扩展中的策略执行不充分，攻击者可利用此问题，诱骗用户安装恶意扩展，从而可能通过构建的 Chrome 扩展执行沙盒逃逸。(CVE-2020-15963)

  - 在 85.0.4183.121 版本之前的 Google Chrome 中， 存储中存在堆缓冲区溢出，远程攻击者可能利用此问题，通过构建的 HTML 页面执行越界内存访问。(CVE-2020-15960)

  - 在 85.0.4183.121 版本之前的 Google Chrome 中，扩展中的策略验证不足，攻击者可利用此问题，诱骗用户安装恶意扩展，从而可能通过构建的 Chrome 扩展执行沙盒逃逸。(CVE-2020-15961)

  - 在 85.0.4183.121 版本之前的 Google Chrome 中，serial 中的策略验证不足，远程攻击者可能利用此问题，通过构建的 HTML 页面执行越界内存访问。(CVE-2020-15962)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Adobe InDesign 版本低于 15.1.2。由于未安全处理 indd 文件，因而会受到任意代码执行漏洞的影响。攻击者可利用此问题造成越界内存访问，从而可能导致在当前用户环境中执行代码。

ID	名称	严重性
144620	Foxit Reader < 4.1 代码注入 (macOS)	high
144453	macOS 10.14.x < 10.14.6 安全更新 2020-007 / 10.15.x < 10.15.7 安全更新 2020-001 / macOS 11.x < 11.1 (HT212011)	high
144285	Mozilla Thunderbird < 78.6	high
144283	Mozilla Firefox < 84.0	critical
144277	Mozilla Firefox ESR < 78.6	high
144108	Adobe Reader <= 2017.011.30180 / 2020.001.30010 / 2020.013.20066 漏洞 (APSB20-75) (macOS)	medium
144106	Adobe Acrobat <= 2017.011.30180 / 2020.001.30010 / 2020.013.20066 漏洞 (APSB20-75) (macOS)	medium
144055	已安装 Adobe Prelude (macOS)	info
143478	macOS 10.13.x < 10.13.6 安全更新 2020-006 / 10.14.x < 10.14.6 安全更新 2020-006 (HT211946)	high
143470	Google Chrome < 87.0.4280.88 多个漏洞	high
143425	Mozilla Thunderbird < 78.5.1	high
143222	VMware Fusion 11.x < 11.5.7 释放后使用 (VMSA-2020-0026)	high
143218	已安装 OpenOffice (macOS)	info
143117	VMware Fusion 11.0.x < 11.5.6 多个漏洞 (VMSA-2020-0023)	high
143115	macOS 11.0.x < 11.0.1	high
143059	Mozilla Thunderbird < 78.5	critical
142912	Mozilla Firefox ESR < 78.5	critical
142911	Mozilla Firefox < 83.0	critical
142903	已安装 Node.js (macOS)	info
142902	已安装 MySQL (Mac OS X)	info
142718	Google Chrome < 86.0.4240.198 多个漏洞	critical
142717	Microsoft Office 产品的安全更新（2020 年 11 月） (macOS)	high
142677	Wireshark 3.2.x < 3.2.8 多个漏洞 (macOS)	high
142642	Google Chrome < 86.0.4240.193 漏洞	critical
142612	Mozilla Firefox ESR < 78.4.1	high
142610	Mozilla Firefox < 82.0.3	high
142468	Adobe Acrobat < 2017.011.30180 / 2020.001.30010 / 2020.013.20064 多个漏洞 (APSB20-67) (macOS)	high
142465	Adobe Reader < 2017.011.30180 / 2020.001.30010 / 2020.013.20064 多个漏洞 (APSB20-67) (macOS)	high
142422	Wireshark 3.2.x < 3.2.8 多个漏洞 (macOS)	high
142208	Google Chrome < 86.0.4240.183 多个漏洞	critical
141776	Mozilla Thunderbird < 78.4	critical
141574	Google Chrome < 86.0.4240.111 多个漏洞	critical
141572	Mozilla Firefox < 82.0	critical
141569	Mozilla Firefox ESR < 78.4	critical
141492	Mac 版 Adobe Flash Player <= 32.0.0.433 (APSB20-58)	high
141470	Microsoft Office 的安全更新（2020 年 10 月）(macOS)	high
141195	Google Chrome < 86.0.4240.75 多个漏洞	high
141173	安装了 ESET Cyber Security (macOS)	info
141105	安装了 McAfee Endpoint Security (macOS)	info
141100	macOS 10.15.x < 10.15.6 / 10.14.x < 10.14.6 安全更新 2020-004 / 10.13.x < 10.13.6 安全更新 2020-004	critical
141099	macOS 10.13.x < 10.13.6 安全更新 2020-005 / 10.14.x < 10.14.6 安全更新 2020-005 / 10.15.x < 10.15.7	high
141082	安装了 Symantec Endpoint Protection (macOS)	info
140776	Wireshark 2.6.x < 2.6.20 多个漏洞 (macOS)	high
140774	Wireshark 3.0.x < 3.0.14 多个漏洞 (macOS)	high
140771	VMware Fusion 11.x < 11.5.7 权限提升 (VMSA-2020-0020)	medium
140756	Wireshark 3.2.x < 3.2.7 多个漏洞 (macOS)	high
140733	Mozilla Firefox ESR < 78.3	high
140731	Mozilla Firefox < 81.0	high
140699	Google Chrome < 85.0.4183.121 多个漏洞	critical
140605	Adobe InDesign CC < 15.1.2 任意代码执行 (APSB20-52) (macOS)	high

检测

Nessus 的 MacOS X Local Security Checks 系列

high

high

high

critical

high

medium

medium

info

high

high

high

high

info

high

high

critical

critical

critical

info

info

critical

high

high

critical

high

high

high

high

high

critical

critical

critical

critical

critical

high

high

high

info

info

critical

high

info

high

high

medium

high

high

high

critical

high