远程 macOS 或 Mac OS X 主机上安装的 Microsoft Office 应用程序缺少安全更新。因此，该应用程序受到 Microsoft Word 软件中远程代码执行漏洞的影响，这是未正确处理内存中的对象所致。攻击者可在当前用户的安全环境中使用特别构建的文件来执行操作。要利用此问题，攻击者必须诱使用户单击链接，通常是通过电子邮件或即时通讯消息中的诱饵，然后诱使其打开特别构建的文件。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 68.7.0。因此，该应用程序受到 mfsa2020-14 公告中提及的多个漏洞的影响。

  - Mozilla 开发人员 Tyson Smith 和 Christian Holler 报告 Firefox 74 和 Firefox ESR 68.6 中存在的内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-6825)

  - 在特定条件下运行 nsDocShell 析构函数时争用条件可造成释放后使用。 (CVE-2020-6819)

  - 在某些情况下，处理 ReadableStream 时，争用条件可造成释放后使用。
    (CVE-2020-6820)

  - 使用 WebGL 的 <code>copyTexSubImage</code> 方法读取部分或全部来源资源之外的区域时，规范要求返回的值必须为零。此前，此内存未初始化，可能导致敏感数据泄露。(CVE-2020-6821)

  - 在 32 位版本上，处理大于 4 GB 的图像时，<code>GMPDecodeData</code> 中可能会发生越界写入。若攻击者付出足够努力，就能利用此漏洞运行任意代码。(CVE-2020-6822)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 81.0.4044.92。因此，该应用程序受到 2020_04_stable-channel-update-for-desktop_7 公告中提及的多个漏洞的影响。

  - 81.0.4044.92 之前的 Google Chrome 中 WebSQL 中的越界读取允许远程攻击者通过构建的 HTML 页面潜在地利用堆损坏。 (CVE-2020-6455)

  - 81.0.4044.92 之前版本的 Google Chrome 扩展中的释放后使用允许攻击者诱骗用户安装恶意扩展从而可能通过构建的 Chrome 扩展利用堆损坏。 (CVE-2020-6454)

  - 81.0.4044.92 之前版本的 Google Chrome 中的音频中存在释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6423)

  - Google Chrome 81.0.4044.92 之前版本的 V8 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面来利用堆损坏。(CVE-2020-6430)

  - 81.0.4044.92 之前版本的 Google Chrome 中剪贴板中不受信任的输入验证不足允许本地攻击者通过特制的剪贴板内容绕过站点隔离。 (CVE-2020-6456)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Apple Xcode 版本低于 10.2。因此，该工具受到内存损坏问题的影响，这是未正确检查输入所致。未经身份验证的远程攻击者可利用此问题，以内核权限执行任意代码。

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 75.0。因此，该应用程序受到公告 mfsa2020-12 中提及的多个漏洞的影响。

  - Mozilla 开发人员 Tyson Smith、Bob Clary 和 Alexandru Michis 报告 Firefox 74 中存在的内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-6826)

  - 使用 WebGL 的 <code>copyTexSubImage</code> 方法读取部分或全部来源资源之外的区域时，规范要求返回的值必须为零。此前，此内存未初始化，可能导致敏感数据泄露。(CVE-2020-6821)

  - 在 32 位版本上，处理大于 4 GB 的图像时，<code>GMPDecodeData</code> 中可能会发生越界写入。若攻击者付出足够努力，就能利用此漏洞运行任意代码。(CVE-2020-6822)

  - 恶意扩展可以调用 <code>browser.identity.launchWebAuthFlow</code>从而控制重定向 uri并通过返回的 Promise获取认证代码并获得对用户在服务提供商的帐户的访问权限。 (CVE-2020-6823)

  - 最初，用户打开私密浏览窗口并为站点生成密码，然后关闭私密浏览窗口，但 Firefox 处于打开状态。如果用户随后打开新的私密浏览窗口，再次访问同一站点并生成新密码，生成的密码将与上一次相同，而不是毫无关联。(CVE-2020-6824)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 68.7。因此，该应用程序受到公告 mfsa2020-13 中提及的多个漏洞的影响。

  - Mozilla 开发人员 Tyson Smith 和 Christian Holler 报告 Firefox 74 和 Firefox ESR 68.6 中存在的内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-6825)

  - 恶意 Android 应用程序可构建由 Android 版 Firefox 处理的意向，并可能造成用户配置文件目录中的文件覆盖。其中一个漏洞利用向量将提供 user.js文件 以提供任意恶意首选项值。控制任意首选项可导致严重危害，因此通常等同于执行任意代码。注意：此问题仅影响 Android 版 Firefox。其他操作系统不受影响。(CVE-2020-6828)

  - 访问可打开 intent://-schemed URL 的链接，造成自定义选项卡打开时，Android 版 Firefox 可能会受到诱骗，显示错误的 URI。注意：此问题仅影响 Android 版 Firefox。其他操作系统不受影响。(CVE-2020-6827)

  - 使用 WebGL 的 <code>copyTexSubImage</code> 方法读取部分或全部来源资源之外的区域时，规范要求返回的值必须为零。此前，此内存未初始化，可能导致敏感数据泄露。(CVE-2020-6821)

  - 在 32 位版本上，处理大于 4 GB 的图像时，<code>GMPDecodeData</code> 中可能会发生越界写入。若攻击者付出足够努力，就能利用此漏洞运行任意代码。(CVE-2020-6822)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox 版本低于 74.0.1。因此，该应用程序受到公告 mfsa2020-11 中提及的多个漏洞的影响。

  - 在某些情况下，处理 ReadableStream 时，争用条件可造成释放后使用。我们已注意到通常环境中因滥用此缺陷所引发的针对性攻击。(CVE-2020-6820)

  - 在某些情况下，运行 nsDocShell 析构函数时，争用条件可造成释放后使用。我们已注意到通常环境中因滥用此缺陷所引发的针对性攻击。(CVE-2020-6819)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 68.6.1。因此，该应用程序受到公告 mfsa2020-11 中提及的多个漏洞的影响。

  - 在某些情况下，处理 ReadableStream 时，争用条件可造成释放后使用。我们已注意到通常环境中因滥用此缺陷所引发的针对性攻击。(CVE-2020-6820)

  - 在某些情况下，运行 nsDocShell 析构函数时，争用条件可造成释放后使用。我们已注意到通常环境中因滥用此缺陷所引发的针对性攻击。(CVE-2020-6819)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Zoom Client for Meetings 版本低于 4.6.9.19273.0402，因此受到多个漏洞的影响。

  - 本地权限提升：经过身份验证的本地攻击者可利用此漏洞获取其他本地系统权限。

  - 未经授权的访问：经过身份验证的本地攻击者可获取权限，访问其他用户的网络摄像头和麦克风。

  - 访问控制绕过：聊天禁用时，经过身份验证的远程攻击者可获取权限，访问在网络研讨会中的聊天。

远程 macOS 主机上安装的 Google Chrome 版本低于 80.0.3987.162。因此如公告 2020_03_stable-channel-update-for-desktop_31 所述受到多个漏洞的影响。

  - 80.0.3987.162 之前版本的 Google Chrome 中存在媒体中的堆缓冲区溢出允许远程攻击者可能通过构建的 HTML 页面利用堆损坏漏洞。 (CVE-2020-6452)

  - 低于 80.0.3987.162 的 Google Chrome 中的 WebAudio 存在释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。CVE-2020-6450、 CVE-2020-6451

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 VMware Fusion 版本为低于 11.5.3 的 11.0.x。因此，它受到一个与会导致特权提升的 setuid 二进制文件不当使用相关的缺陷的影响。请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上正在运行的 macOS / Mac OS X 版本为低于 10.13.6 Security Update 2020-002 的 10.13.x、低于 10.14.6 Security Update 2020-002 的 10.14.x，或低于 10.15.4 的 10.15.x。因此，该主机受到多个漏洞的影响：

  - 在配有 Intel(R) Processor Graphics 的部分 Intel(R) 处理器中，某些数据结构中的控制流不足可能导致未经身份验证的用户或可通过本地访问造成信息泄露。
    CVE-2019-14615）

  - ** 有争议 ** 在 1.8.29 及之前版本的 Sudo 中，拥有 Runas ALL Sudo 用户帐户访问权限的攻击者可以使用不与任何用户关联的数字 UID 调用 Sudo，以冒充不存在的用户。
    注意：软件维护者认为这并非漏洞，因为通过 Sudo 以未出现在本地密码数据库中的用户身份运行命令是一项有意的功能。由于此行为让某些用户感到意外，Sudo 1.8.30 引入了用于启用/禁用此行为（默认禁用）的选项。但是，这不会改变 Sudo 在较早版本中按预期和记录的方式作出行为的事实。(CVE-2019-19232)

  - Bluetooth 中存在跨界读取错误，这是输入清理不当所致。攻击者可利用此漏洞读取受限内存。(CVE-2019-8853)

  - IOThunderboltFamily 中存在权限提升漏洞，这是释放后使用缺陷所致。攻击者可利用此漏洞获取已提升的系统访问权限。()CVE-2020-3851CVE-2020-3898

  - FaceTime、Icons 和 Call History 中存在信息泄露漏洞。未经身份验证的本地攻击者可利用此问题，通过恶意应用程序泄露潜在敏感信息。（CVE-2020-3881、CVE-2020-9773、CVE-2020-9776）

  - 存在信息泄露漏洞。本地用户可利用此漏洞查看敏感用户信息。(CVE-2020-3918)

  - AppleMobileFileIntegrity 中存在不明问题，原因不明。攻击者可利用此问题使用任意权利。(CVE-2020-3883)

  - Mail 中存在任意代码执行漏洞，这是输入验证不当所致。未经身份验证的远程攻击者可利用此漏洞绕过身份验证并执行任意 JavaScript 代码。(CVE-2020-3884)

  - Time Machine 中存在任意文件读取漏洞，这是状态管理不当所致。未经身份验证的本地攻击者可利用此问题，读取任意文件并泄露敏感信息。(CVE-2020-3889)

  - AppleGraphicsControl、Bluetooth、IOHIDFamily 和内核中存在任意代码执行漏洞，这是内存初始化和损坏问题所致。攻击者可利用此漏洞绕过身份验证并利用内核权限执行任意命令。（CVE-2020-3892、CVE-2020-3893、CVE-2020-3904、CVE-2020-3905、CVE-2020-3919、CVE-2020-9785）

  - Apple HSSPI Support 中存在任意代码执行漏洞，这是内存损坏问题所致。
    攻击者可利用此漏洞绕过身份验证并利用系统权限执行任意命令。(CVE-2020-3903)

  - TCC 中存在逻辑问题，原因不明。攻击者可利用此问题，通过恶意构建的应用程序造成绕过代码签名。 (CVE-2020-3906)

  - Bluetooth 中存在跨界读取错误，这是输入验证不当所致。未经身份验证的本地攻击者可利用此问题造成拒绝服务或读取内核内存。（CVE-2020-3907、CVE-2020-3908、CVE-2020-3912）

  - libxml2 中存在缓冲区溢出情况，这是边界检查和大小验证不当所致。攻击者可利用此情况，造成拒绝服务情况或任意代码执行。
    （CVE-2020-3909、CVE-2020-3910、CVE-2020-3911）

  - 存在权限提升漏洞，这是权限验证不当所致。未经身份验证的远程攻击者可利用此漏洞获取已提升的系统访问权限。(CVE-2020-3913)

  - 内核中存在信息泄露漏洞，这是内存处理不当所致。攻击者可利用此漏洞读取受限内存。(CVE-2020-3914)

  -由于路径处理不当，打印中存在任意文件覆盖漏洞。本地攻击者可利用此问题覆盖任意文件。CVE-2020-3915

  - macOS 上的 Vim 安装中存在多个不明问题。攻击者可利用此情况造成未知影响。(CVE-2020-9769)

  - 由于未正确验证 calendar.php 中用户提供的输入，存在一个不明漏洞。攻击者可利用此问题，对应用程序和/或系统的机密性，完整性和可用性造成部分影响。 （（CVE-2020-9786）

  -由于限制中的逻辑缺陷，WebKit中存在漏洞。攻击者可能会利用此缺陷作为更精细攻击的一部分，以获取对MacOS摄像头未经授权的访问权限。 （（CVE-2020-9787）

请注意，Nessus 并未测试此问题，而是只依靠操作系统自我报告的版本号。

远程 macOS 或 Mac OS X 主机上安装的 Adobe Photoshop CC 或 Photoshop 的版本低于 20.0.9/21.1.1。
因此，如公告 apsb20-14 所述，此版本受到多个漏洞的影响。

  - Adobe Photoshop CC 2019 版本 20.0.8 和更早版本，以及 Photoshop 2020 版本 21.1 和更早版本存在内存损坏漏洞。成功利用此漏洞可导致任意代码执行。
    （CVE-2020-3784、CVE-2020-3785、CVE-2020-3786、CVE-2020-3787、CVE-2020-3788、CVE-2020-3789、CVE-2020-3790）

  - Adobe Photoshop CC 2019 版本 20.0.8 和更早版本，以及 Photoshop 2020 版本 21.1 和更早版本存在堆损坏漏洞。成功利用此漏洞可导致任意代码执行。
    (CVE-2020-3783)

  - Adobe Photoshop CC 2019 版本20.0.8  和更早版本，以及 Photoshop 2020 版本 21.1 和更早版本存在越界读取漏洞。成功利用此漏洞可能导致信息泄露。
    （CVE-2020-3771、CVE-2020-3777、CVE-2020-3781、CVE-2020-3782、CVE-2020-3791）

  - Adobe Photoshop 版本 Photoshop CC 2019，以及 Photoshop 2020 存在越界读取漏洞。
    成功利用可能导致信息泄露。(CVE-2020-3778)

  - Adobe Photoshop CC 2019 版本 20.0.8 和更早版本，以及 Photoshop 2020 版本 21.1 和更早版本存在越界写入漏洞。成功利用此漏洞可导致任意代码执行。
    (CVE-2020-3773、CVE-2020-3779)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Reader 版本低于 2015.006.30518、2017.011.30166 或 2020.006.20042。因此该软件受到多个漏洞的影响。

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在缓冲区溢出漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2020-3807)

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在释放后使用漏洞。若攻击者成功利用此漏洞，可导致任意代码执行。（CVE-2020-3792、CVE-2020-3793、CVE-2020-3801、CVE-2020-3802、CVE-2020-3805）

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在越界读取漏洞。成功利用可能导致信息泄露。（CVE-2020-3804、CVE-2020-3806）

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在越界写入漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2020-3795)

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在基于堆栈的缓冲区溢出漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2020-3799)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Acrobat 版本低于 2015.006.30518、2017.011.30166 或 2020.006.20042。因此该软件受到多个漏洞的影响。

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在缓冲区溢出漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2020-3807)

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在释放后使用漏洞。若攻击者成功利用此漏洞，可导致任意代码执行。（CVE-2020-3792、CVE-2020-3793、CVE-2020-3801、CVE-2020-3802、CVE-2020-3805）

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在越界读取漏洞。成功利用可能导致信息泄露。（CVE-2020-3804、CVE-2020-3806）

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在越界写入漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2020-3795)

  - Adobe Acrobat 和 Reader 版本 2020.006.20034 及更早版本、2017.011.30158 及更早版本、2017.011.30158 及更早版本、2015.006.30510 及更早版本以及 2015.006.30510 及更早版本存在基于堆栈的缓冲区溢出漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2020-3799)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 80.0.3987.149。因此，如公告 2020_03_stable-channel-update-for-desktop_18 所述，受到多个漏洞的影响。

  - 80.0.3987.149 之前版本的 Google Chrome 中的音频中存在释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。CVE-2020-6427、 CVE-2020-6428、 CVE-2020-6429、 CVE-2020-6449

  - 80.0.3987.149 之前版本的 Google Chrome 中的 WebGL 存在释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6422)

  - Google Chrome 80.0.3987.149 之前版本的媒体元素中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。(CVE-2020-6424)

  - 在 80.0.3987.149 之前版本的 Google Chrome 中扩展中的策略执行不充分允许攻击者诱使用户安装恶意的扩展以通过构建的 Chrome 扩展绕过站点隔离。 (CVE-2020-6425)

  - 在 80.0.3987.149 之前版本的 Google Chrome 中，V8 中存在不当实现漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。(CVE-2020-6426)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 VMware Fusion 版本为低于 11.5.2 的 11.x。因而会受到多个漏洞的影响。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

远程 macOS 或 Mac OS X 主机上安装的 Microsoft Office 应用程序缺少安全更新。由于未正确处理内存中的对象，因而受到 Microsoft Word 软件中多个远程代码执行漏洞的影响。攻击者可在当前用户的安全环境中使用特别构建的文件来执行操作。要利用此问题，攻击者必须诱使用户单击链接，通常是通过电子邮件或即时通讯消息中的诱饵，然后诱使其打开特别构建的文件。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 68.6。因此如公告 mfsa2020-09 所述受到多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Byron Campen、Jason Kratzer 和 Christian Holler 报告了 Firefox 73 和 Firefox ESR 中存在的内存安全缺陷 68.5。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-6814)

  - 删除选项卡最近被关闭的来源的相关数据时配额管理器中可能发生释放后使用进而导致潜在可利用的崩溃。 (CVE-2020-6805)

  - 通过精心构建 promise 解析，可于脚本执行期间，在大小经过调整的数组末端造成越界读取。这可能导致内存损坏和潜在的可利用崩溃。(CVE-2020-6806)

  - 如果在流将要破坏时更改设备则可能在流破坏后执行 <code>stream-reinit</code> 任务造成释放后使用和潜在可利用的崩溃。 (CVE-2020-6807)

  - Devtools 网络选项卡的“复制为 cURL”功能未正确转义可由网站控制的请求的 HTTP 方法。如果用户使用“复制为 Curl”功能并将命令粘贴到终端中，可能导致命令注入和任意命令执行。
    (CVE-2020-6811)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 74.0。因此如公告 mfsa2020-08 所述受到多个漏洞的影响。

  - Mozilla 开发人员 Jason Kratzer、Boris Zbarsky、Tyson Smith 和 Alexandru Michis 报告 Firefox 73 中存在内存安全和脚本安全缺陷。有迹象表明其中某些缺陷可导致内存损坏或权限升级我们推测若攻击者有意操控就能利用其中部分缺陷来运行任意代码。 (CVE-2020-6815)

  - 删除选项卡最近被关闭的来源的相关数据时配额管理器中可能发生释放后使用进而导致潜在可利用的崩溃。 (CVE-2020-6805)

  - 通过精心构建 promise 解析，可于脚本执行期间，在大小经过调整的数组末端造成越界读取。这可能导致内存损坏和潜在的可利用崩溃。(CVE-2020-6806)

  - 如果在流将要破坏时更改设备则可能在流破坏后执行 <code>stream-reinit</code> 任务造成释放后使用和潜在可利用的崩溃。 (CVE-2020-6807)

  - 当评估 JavaScript URL (javascript:) 且结果为字符串时将解析此字符串以创建随后呈现的 HTML 文档。以前此文档的 URL例如由 document.location 属性报告为原始 javascript: URL可能会导致欺骗攻击现在正确的是原始文档的 URL。 (CVE-2020-6808)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装了 VMware Carbon Black Cloud Endpoint Standard（以前为 Cb Defense 和 Confer）。

远程 macOS 主机上安装的 Google Chrome 版本低于 80.0.3987.132。因此如公告 2020_03_stable-channel-update-for-desktop 所述受到一个漏洞的影响。

  - 在 80.0.3987.132 之前版本的 Google Chrome 中媒体中的策略执行不充分允许远程攻击者通过构建的 HTML 页面绕过同源策略。 (CVE-2020-6420)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 2.6.15。因此，如公告 wireshark-2.6.15 所述，会受到多个漏洞的影响。

  - LTE RRC 解析器存在内存泄漏的隐患。可能通过将格式错误的数据包注入线路或诱骗某人读取格式错误的数据包跟踪文件导致 Wireshark 消耗过量的 CPU 资源。 (wireshark-bug-16341)

  - WiMax DLMAP 分析器可能崩溃。可能可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件导致 Wireshark 崩溃。 (wireshark-bug-16368)

  - EAP 分析器可能崩溃。可能可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件导致 Wireshark 崩溃。 (wireshark-bug-16397)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 3.2.2。因此受到公告 wireshark-3.2.2 中提及的多个漏洞的影响。

  - LTE RRC 解析器存在内存泄漏的隐患。可能通过将格式错误的数据包注入线路或诱骗某人读取格式错误的数据包跟踪文件导致 Wireshark 消耗过量的 CPU 资源。 (wireshark-bug-16341)

  - WiMax DLMAP 分析器可能崩溃。可能可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件导致 Wireshark 崩溃。 (wireshark-bug-16368)

  - EAP 分析器可能崩溃。可能可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件导致 Wireshark 崩溃。 (wireshark-bug-16397)

  - WireGuard 分析器可能会崩溃。可能可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件导致 Wireshark 崩溃。 (wireshark-bug-16394)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 3.0.9。因此受到公告 wireshark-3.0.9 中提及的多个漏洞的影响。

  - LTE RRC 解析器存在内存泄漏的隐患。可能通过将格式错误的数据包注入线路或诱骗某人读取格式错误的数据包跟踪文件导致 Wireshark 消耗过量的 CPU 资源。 (wireshark-bug-16341)

  - WiMax DLMAP 分析器可能崩溃。可能可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件导致 Wireshark 崩溃。 (wireshark-bug-16368)

  - EAP 分析器可能崩溃。可能可能通过将畸形数据包注入线路或诱骗某人读取畸形数据包跟踪文件导致 Wireshark 崩溃。 (wireshark-bug-16397)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 80.0.3987.122。因此，如公告 2020_02_stable-channel-update-for-desktop_24 所述，受到多个漏洞的影响。

  - Google Chrome 80.0.3987.122 之前版本的 V8 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。(CVE-2020-6418)

  - 在 80.0.3987.122 之前版本的 Google Chrome 中流中的越界内存访问允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6407)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 68.5。因此如公告 mfsa2020-06 所述受到多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Raul Gurzau、Tyson Smith、Bob Clary、Liz Henry 和 Christian Holler 报告 Firefox 72 和 Firefox ESR 中存在内存安全缺陷 68.4。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-6800)

  - 内容进程可能已修改与崩溃报告信息有关的共享内存，导致自身崩溃并造成越界写入。这可能导致内存损坏和潜在可利用的崩溃。 (CVE-2020-6796)

  - 通过下载扩展名为 .fileloc 的文件半权限扩展可以在用户计算机上启动任意应用程序。攻击者受到限制，无法下载非隔离文件，也无法向应用程序提供命令行参数，从而限制了影响。注意：此问题仅在 Mac OSX 上发生。其他操作系统不受影响。(CVE-2020-6797)

  - 如果在<a id="x1">[</a> <a id="x2">] 中使用了 []</a>标签<select%gt;<a id="x3"> [] 标签下解析器可能会混淆并在不应允许的情况下允许 JavaScript 解析和执行。<code><template></code><code></code> 依赖于浏览器正确运行的站点可能会因此受到跨站脚本漏洞的影响。
    (CVE-2020-6798)

  - 在将 Firefox 作为某些不受支持的文件类型的 shell 处理程序调用时命令行参数可能被注入。这需要将 Firefox 配置为给定文件类型和下载的文件的默认处理程序以在未充分审查 URL 数据的第三方应用程序中打开。在这种情况下点击第三方应用程序中的链接可用来检索和执行其位置是通过命令行参数提供的文件。注意：此问题仅当 Firefox 配置为非默认文件类型的默认处理程序时此问题会影响 Windows 操作系统和 。其他操作系统不受影响。(CVE-2020-6799)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 80.0.3987.116。因此，如公告 2020_02_stable-channel-update-for-desktop_18 所述，受到多个漏洞的影响。

  - 80.0.3987.116 之前版本的 Google Chrome 语音中的释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6386)

  - Google Chrome 80.0.3987.116 之前版本的 V8 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。(CVE-2020-6383)

  - 低于 80.0.3987.116 的 Google Chrome 中的 WebAudio 存在释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6384)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 73.0。因此如公告 mfsa2020-05 所述受到多个漏洞的影响。

  - Mozilla 开发人员 Jason Kratzer、Tyson Smith 和 Christian Holler 报告 Firefox 72 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2020-6801)

  - 内容进程可能已修改与崩溃报告信息有关的共享内存，导致自身崩溃并造成越界写入。这可能导致内存损坏和潜在可利用的崩溃。 (CVE-2020-6796)

  - 通过下载扩展名为 .fileloc 的文件半权限扩展可以在用户计算机上启动任意应用程序。攻击者受到限制，无法下载非隔离文件，也无法向应用程序提供命令行参数，从而限制了影响。注意：此问题仅在 Mac OSX 上发生。其他操作系统不受影响。(CVE-2020-6797)

  - 如果在<a id="x1">[</a> <a id="x2">] 中使用了 []</a>标签<select%gt;<a id="x3"> [] 标签中解析器可能会混淆并在不应允许的情况下允许 JavaScript 解析和执行。<code><template></code><code></code> 依赖于浏览器正确运行的站点可能会因此受到跨站脚本漏洞的影响。
    (CVE-2020-6798)

  - 在将 Firefox 作为某些不受支持的文件类型的 shell 处理程序调用时命令行参数可能被注入。这需要将 Firefox 配置为给定文件类型和下载的文件的默认处理程序以在未充分审查 URL 数据的第三方应用程序中打开。在这种情况下点击第三方应用程序中的链接可用来检索和执行其位置是通过命令行参数提供的文件。注意：此问题仅当 Firefox 配置为非默认文件类型的默认处理程序时此问题会影响 Windows 操作系统和 。其他操作系统不受影响。(CVE-2020-6799)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 68.5。因此如公告 mfsa2020-07 所述受到多个漏洞的影响。

  - Mozilla 开发人员和社区成员 Raul Gurzau、Tyson Smith、Bob Clary、Liz Henry 和 Christian Holler 报告 Firefox 72 和 Firefox ESR 中存在内存安全缺陷 68.4。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。一般情况下无法通过 Thunderbird 产品中的电子邮件来利用这些缺陷因为阅读邮件时会禁用脚本但在浏览器或类似浏览器的上下文中可能存在风险。 (CVE-2020-6800)

  - 处理带有格式错误的信封的电子邮件消息时Thunderbird 可以从随机内存位置读取数据。 (CVE-2020-6793)

  - 如果用户已在 Thunderbird 60 之前保存密码，并在之后设置主密码，则仍可访问这些密码的未加密副本。这是因为将数据复制为 Thunderbird 60 中启动的新格式时，之前已存储的密码文件并未删除。系统只会将新的主密码添加到新文件。这可能会导致用户意料之外的已存储密码数据泄露情况。
    (CVE-2020-6794)

  - 当处理包含多个 S/MIME 签名的消息时MIME 处理代码中的缺陷导致空指针取消引用从而造成不可利用的崩溃。 (CVE-2020-6795)

  - 通过下载扩展名为 .fileloc 的文件半权限扩展可以在用户计算机上启动任意应用程序。攻击者受到限制，无法下载非隔离文件，也无法向应用程序提供命令行参数，从而限制了影响。注意：此问题仅在 Mac OSX 上发生。其他操作系统不受影响。(CVE-2020-6797)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Reader 版本低于 2015.006.30510、2017.011.30158 或 2020.006.20034。因此该软件受到多个漏洞的影响。

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在特权提升漏洞。若攻击者成功利用此漏洞，可导致任意文件系统写入。（CVE-2020-3762、CVE-2020-3763）

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在越界读取漏洞。成功利用可能导致信息泄露。（CVE-2020-3744、CVE-2020-3747、CVE-2020-3755）

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在堆溢出漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2020-3742)

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在缓冲区错误漏洞。成功利用可能导致任意代码执行。（CVE-2020-3752、CVE-2020-3754）

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在释放后使用漏洞。若攻击者成功利用此漏洞，可导致任意代码执行。（CVE-2020-3743、CVE-2020-3745、CVE-2020-3746、CVE-2020-3748、CVE-2020-3749、CVE-2020-3750、CVE-2020-3751）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Adobe Acrobat 版本低于 2015.006.30510 或 2020.006.20034。
因此该软件受到多个漏洞的影响。

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在特权提升漏洞。若攻击者成功利用此漏洞，可导致任意文件系统写入。（CVE-2020-3762、CVE-2020-3763）

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在越界读取漏洞。成功利用可能导致信息泄露。（CVE-2020-3744、CVE-2020-3747、CVE-2020-3755）

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在堆溢出漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2020-3742)

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在缓冲区错误漏洞。成功利用可能导致任意代码执行。（CVE-2020-3752、CVE-2020-3754）

  - Adobe Acrobat 和 Reader 版本 2019.021.20061 及更早版本、2017.011.30156 及更早版本、2017.011.30156 及更早版本以及 2015.006.30508 及更早版本存在释放后使用漏洞。若攻击者成功利用此漏洞，可导致任意代码执行。（CVE-2020-3743、CVE-2020-3745、CVE-2020-3746、CVE-2020-3748、CVE-2020-3749、CVE-2020-3750、CVE-2020-3751）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Microsoft Office 应用程序缺少安全更新。因此，它受到一个远程代码执行漏洞影响，造成此漏洞的原因是 Microsoft Excel 未正确处理内存中的对象。成功利用此漏洞的攻击者可在当前用户环境中运行任意代码。要利用此漏洞，攻击者必须诱使已登录用户点击链接或打开特别构建的文件，从而借助已登录用户的权限控制系统。

远程 macOS 或 Mac OS X 主机上安装的 Adobe Flash Player 版本为 32.0.0.321 或低于此版本。因而会受到多个漏洞的影响。

远程主机运行的 macOS/Mac OS X 版本为低于 10.15.3 的 10.15.x、低于 10.13.6 的 10.13.x、低于 10.14.6 的 10.14.x。因此，该应用程序受到多个漏洞的影响：

  - 在 FPM 设置的某些配置中，当 PHP 版本为低于 7.1.33 的 7.1.x、低于 7.2.24 的 7.2.x 和低于 7.3.11 的 7.3.x 时，可能导致 FPM 模块将过去分配的缓冲区写入为 FCGI 协议数据预留的空间，因此可能导致执行远程代码。(CVE-2019-11043)

  - 存在任意代码执行漏洞，这是错误配置所致。经身份验证的本地攻击者可利用此问题在远程主机上执行任意代码。
    (CVE-2019-18634)

  - 存在任意代码执行漏洞，这是可以处理恶意构建的图像所致。未经身份验证的远程攻击者可利用此漏洞在远程主机上执行任意代码。
    (CVE-2020-3826 CVE-2020-3827 CVE-2020-3870 CVE-2020-3878)

  - 存在权限提升漏洞，这是越界读取问题所致。未经身份验证的远程攻击者可利用此漏洞获取已提升的系统访问权限。(CVE-2020-3829)

  - 处理符号链接时存在任意文件写入漏洞。攻击者构建的恶意程序可利用此漏洞在远程主机上覆写任意文件。
    (CVE-2020-3830 CVE-2020-3835 CVE-2020-3855)

  - 在处理应用程序的访问控制时存在信息泄露漏洞。攻击者构建的恶意应用程序可利用此漏洞，泄漏内核内存布局。
    (CVE-2020-3836)

  - 存在任意代码执行漏洞，这是内存损坏问题所致。远程攻击者构建的恶意应用程序可能会在远程主机上，利用内核特权，执行任意代码。
    (CVE-2020-3837 CVE-2020-3842 CVE-2020-3871)

  - 存在任意代码执行漏洞，这是权限逻辑错误所致。远程攻击者构建的恶意应用程序可能会在远程主机上，利用系统特权，执行任意代码。
    (CVE-2019-18634 CVE-2020-3854 CVE-2020-3845 CVE-2020-3853 CVE-2020-3857)

  - 输入审查逻辑中存在信息泄露漏洞。攻击者构建的恶意应用程序可利用此漏洞，读取受限制的内存。
    (CVE-2020-3839 CVE-2020-3847)

  - 存在任意代码执行漏洞，这是加载恶意构建的 racoon 配置文件所致。经身份验证的本地攻击者可利用此问题在远程主机上执行任意代码。
    (CVE-2020-3840)

  - 存在拒绝服务 (DoS) 漏洞，这是内存损坏问题所致。未经身份验证的远程攻击者可利用此问题，通过恶意的输入，造成系统崩溃、停止响应或损坏内核内存。(CVE-2020-3843)

  - 存在任意代码执行漏洞，这是缓冲区溢出或越界读取问题所致。经身份验证的本地攻击者可利用此问题在远程主机上执行任意代码，或造成意外应用程序终止。
    (CVE-2020-3846 CVE-2020-3848 CVE-2020-3849 CVE-2020-3850 CVE-2020-3877)

  - 存在内存损坏漏洞，这是恶意构建的字符串所致。未经身份验证的远程攻击者可利用此问题，通过恶意的输入，造成堆内存损坏。(CVE-2020-3856)

  - 处理攻击者控制的 NFS 挂载的文件时，存在安全绕过漏洞。拥有本地访问权限的远程攻击者可以搜索并打开攻击者控制的 NFS 挂载的文件，并绕过 Gatekeeper Security 功能。(CVE-2020-3866)

  - 应用程序可以读取受限制内存时，存在信息泄露漏洞。本地授权攻击者可利用此问题读取受限内存。
    (CVE-2020-3872 CVE-2020-3875)

请注意，Nessus 并未测试此问题，而是只依靠操作系统自我报告的版本号。

远程 macOS 主机上安装的 Google Chrome 版本低于 80.0.3987.87。因此，如公告 2020_02_stable-channel-update-for-desktop 所述，受到多个漏洞的影响。

  - 在 80.0.3987.87 之前的 Google Chrome 中流中的数据验证不足允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6416)

  - 低于 80.0.3987.87 的ChromeOS 和 Android 中 Google Chrome 中 JavaScript 的整数溢出允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6381)

  - 低于 80.0.3987.87 的Google Chrome 中 JavaScript 的类型混淆允许远程攻击者通过构建的 HTML 页面潜在地利用堆损坏。 (CVE-2020-6382)

  - 在 libxslt 1.1.33 中的 transform.c 中的 xsltCopyText 中，无法再某些情况下重设指针变量。如果相关内存区域以某种方式被释放并重新使用，则边界检查可能失败，并且系统可能会写入缓冲区外的内存，或者未初始化的数据可能会被泄露。(CVE-2019-18197)

  - SQLite 3.30.1 中 select.c 内的 multiSelect 在解析期间未正确处理某些错误这一点已由 sqlite3WindowRewrite() 调用中的错误证实。注意：存在此漏洞的原因是未完整修复 CVE-2019-19880。(CVE-2019-19926)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本低于 3.2.1。因此，由于数据包处理逻辑不足，其受到 WASSP 解析器组件中拒绝服务 (DoS) 漏洞的影响。未经身份验证的远程攻击者可利用此问题，通过向受影响主机发送特制的数据包，导致组件中出现 DoS 的情况。请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

远程 macOS / Mac OS X 主机上安装的 Wireshark 版本为低于 3.0.8 的 3.0.x。因此，该应用程序受到蓝牙属性解析器组件中拒绝服务 (DoS) 漏洞的影响，这是数据包处理逻辑不足所致。未经身份验证的远程攻击者可利用此问题，通过向受影响主机发送特制的数据包，导致组件中出现 DoS 的情况。 

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

Nessus 可枚举远程 macOS 主机上安装的 Chrome 浏览器扩展。

远程 macOS 主机上安装的 Google Chrome 版本低于 79.0.3945.130。因此，如公告 2020_01_stable-channel-update-for-desktop_16 所述，受到多个漏洞的影响。

  - 在 79.0.3945.130 之前版本的 Google Chrome 中扩展中的策略执行不充分允许入侵渲染器进程的远程攻击者通过构建的 Chrome 扩展绕过站点隔离。
    (CVE-2020-6380)

  - 79.0.3945.130 之前版本的 Google Chrome 语音中的释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6378)

  - 在 Google Chrome 79.0.3945.130 之前的版本中，V8 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。(CVE-2020-6379)

  - Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。攻击者可以通过使用该漏洞签名恶意的代码签名证书来恶意利用此漏洞使该文件似乎由来自受信任的合法来源亦称“Windows CryptoAPI 欺骗漏洞”。 (CVE-2020-0601)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Microsoft Office 应用程序缺少安全更新。因而会受到多个漏洞的影响：- Microsoft Excel 未正确处理内存对象时，存在远程代码执行漏洞。成功利用此漏洞的攻击者可在当前用户环境中运行任意代码。要利用此漏洞，攻击者必须诱使已登录用户点击链接或打开特别构建的文件，从而借助已登录用户的权限控制系统。(CVE-2020-0650 CVE-2020-0651)

远程 macOS 或 Mac OS X 主机上安装的 Thunderbird 版本低于 68.4.1。因此，如公告 mfsa2020-04 所述，受到多个漏洞的影响。

  - IonMonkey JIT 编译器中用于设置数组元素的错误别名信息可导致类型混淆。我们已注意到通常环境中因滥用此缺陷所引发的针对性攻击。(CVE-2019-17026)

  - 在初始化新内容进程期间，指针偏移可被操控，从而导致父进程中内存损坏以及潜在可利用的崩溃。注意：此问题只在 Windows 上发生。其他操作系统不受影响。(CVE-2019-17015)

  - 将剪贴板中的 <code><style></code> 标签粘贴到富文本编辑器中时，CSS 清理程序错误地重写 @namespace 规则。这可允许注入到某些类型的网站从而导致数据外泄。 (CVE-2019-17016)

  - 由于缺少处理对象类型的案例，可能会产生类型混淆漏洞，从而导致崩溃。我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
    (CVE-2019-17017)

  - 在初始化新内容进程期间发生争用条件其可允许内容进程泄露来自父进程的堆地址。注意：此问题只在 Windows 上发生。
    其他操作系统不受影响。(CVE-2019-17021)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 79.0.3945.117。因此如公告 2020_01_stable-channel-update-for-desktop 所述受到一个漏洞的影响。

  - 79.0.3945.117 之前版本的 Google Chrome 中的音频中存在释放后使用允许远程攻击者可能通过构建的 HTML 页面利用堆损坏。 (CVE-2020-6377)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 72.0.1。因此如公告 mfsa2020-03 所述受到一个漏洞的影响。

  - IonMonkey JIT 编译器中用于设置数组元素的错误别名信息可导致类型混淆。我们已注意到通常环境中因滥用此缺陷所引发的针对性攻击。(CVE-2019-17026)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 68.4.1。因此如公告 mfsa2020-03 所述受到一个漏洞的影响。

  - IonMonkey JIT 编译器中用于设置数组元素的错误别名信息可导致类型混淆。我们已注意到通常环境中因滥用此缺陷所引发的针对性攻击。(CVE-2019-17026)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Firefox ESR 版本低于 68.4。因此受到公告 mfsa2020-02 中提及的多个漏洞的影响。

  - Mozilla 开发人员 Jason Kratzer、Christian Holler 和 Bob Clary 报告了 Firefox 71 和 Firefox ESR 中存在的内存安全缺陷 68.3。其中某些错误展示出内存损坏迹象，我们推测若攻击者付出足够努力，就能利用部分错误运行任意代码。(CVE-2019-17024)

  - 在初始化新内容进程期间，指针偏移可被操控，从而导致父进程中内存损坏以及潜在可利用的崩溃。注意：此问题只在 Windows 上发生。其他操作系统不受影响。(CVE-2019-17015)

  - 将剪贴板中的 <code><style></code> 标签粘贴到富文本编辑器中时，CSS 清理程序错误地重写 @namespace 规则。这可允许注入到某些类型的网站从而导致数据外泄。 (CVE-2019-17016)

  - 由于缺少处理对象类型的案例，可能会产生类型混淆漏洞，从而导致崩溃。我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
    (CVE-2019-17017)

  - 在初始化新内容进程期间发生争用条件其可允许内容进程泄露来自父进程的堆地址。注意：此问题只在 Windows 上发生。
    其他操作系统不受影响。(CVE-2019-17021)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Mozilla Firefox 版本低于 72.0。因此如公告 mfsa2020-01 所述受到多个漏洞的影响。

  - Mozilla 开发人员 Karl Tomlinson、Jason Kratzer、Tyson Smith、Jon Coppeard 和 Christian Holler 报告 Firefox 71 中存在内存安全错误。其中某些错误展示出内存损坏迹象，我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
    (CVE-2019-17025)

  - 在初始化新内容进程期间，指针偏移可被操控，从而导致父进程中内存损坏以及潜在可利用的崩溃。注意：此问题只在 Windows 上发生。其他操作系统不受影响。(CVE-2019-17015)

  - 将剪贴板中的 <code><style></code> 标签粘贴到富文本编辑器中时，CSS 清理程序错误地重写 @namespace 规则。这可允许注入到某些类型的网站从而导致数据外泄。 (CVE-2019-17016)

  - 由于缺少处理对象类型的案例，可能会产生类型混淆漏洞，从而导致崩溃。我们推测如果攻击者进行足够的尝试，则可以利用此漏洞运行任意代码。
    (CVE-2019-17017)

  - 在 Windows 10 中处于隐私浏览模式时Windows 键盘可能会保留单词建议以提高键盘的准确性。 (CVE-2019-17018)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 主机上安装的 Google Chrome 版本低于 79.0.3945.88。因此，如公告 2019_12_stable-channel-update-for-desktop_17 所述，受到一个漏洞的影响。

  - 79.0.3945.88 之前版本的 Google Chrome 中媒体选择器的释放后使用允许已危害渲染器进程的远程攻击者可能通过构建的 HTML 页面利用堆损坏。
    (CVE-2019-13767)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 macOS 或 Mac OS X 主机上安装的 Apple Xcode 版本低于 11.3。因此，该工具受到 ld64 组件中漏洞的影响，这是未充分检查边界所致。攻击者可利用此漏洞，诱使受害者打开特别构建的文件，从而在系统上执行任意代码或造成拒绝服务的情况。

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程 macOS 主机上安装的 Adobe Reader 版本低于 2015.006.30508、2017.011.30156 或 2019.021.20058。因此该软件受到多个漏洞的影响。

  - Adobe Acrobat 和 Reader 版本 2019.021.20056 及更早版本、2017.011.30152 及更早版本、2017.011.30155 及更早版本、2017.011.30152 及更早版本以及 2015.006.30505 及更早版本存在释放后使用漏洞。若攻击者成功利用此漏洞，可导致任意代码执行。（CVE-2019-16445、CVE-2019-16448、CVE-2019-16452、CVE-2019-16459、CVE-2019-16464）

  - Adobe Acrobat 和 Reader 版本 2019.021.20056 及更早版本、2017.011.30152 及更早版本、2017.011.30155 及更早版本、2017.011.30152 及更早版本以及 2015.006.30505 及更早版本存在越界读取漏洞。成功利用可能导致信息泄露。（CVE-2019-16449、CVE-2019-16456、CVE-2019-16457、CVE-2019-16458、CVE-2019-16461、CVE-2019-16465）

  - Adobe Acrobat 和 Reader 版本 2019.021.20056 及更早版本、2017.011.30152 及更早版本、2017.011.30155 及更早版本、2017.011.30152 及更早版本以及 2015.006.30505 及更早版本存在越界写入漏洞。成功利用可能导致任意代码执行。（CVE-2019-16450、CVE-2019-16454）

  - Adobe Acrobat Reader 2019.021.20056 以及更早版本受到释放后使用漏洞的影响，攻击者可利用此漏洞在当前用户环境中执行任意代码。利用此问题需要用户交互，受害者必须打开恶意文件。(CVE-2019-16471)

  - Adobe Acrobat 和 Reader 版本 2019.021.20056 及更早版本、2017.011.30152 及更早版本、2017.011.30155 及更早版本 2017.011.30152 及更早版本以及 2015.006.30505 及更早版本存在堆溢出漏洞。成功利用此漏洞，可导致任意代码执行。(CVE-2019-16451)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
135589	Microsoft Office 产品的安全更新（2020 年 4 月）(macOS)	high
135412	Mozilla Thunderbird < 68.7.0	critical
135400	Google Chrome < 81.0.4044.92 多个漏洞	high
135296	Apple Xcode < 10.2 代码执行 (macOS)	high
135275	Mozilla Firefox < 75.0	critical
135273	Mozilla Firefox ESR < 68.7	critical
135200	Mozilla Firefox < 74.0.1	high
135199	Mozilla Firefox ESR < 68.6.1	high
135189	Zoom Client for Meetings < 4.6.9.19273.0402 多个问题 (macOS)	high
135093	Google Chrome < 80.0.3987.162 多个漏洞	high
134974	VMware Fusion 11.0.x < 11.5.3“setuid”权限提升 (VMSA-2020-0005)	high
134954	macOS 10.15.x < 10.15.4 / 10.14.x < 10.14.6 安全更新 2020-002 / 10.13.x < 10.13.6 安全更新 2020-002	critical
134763	Adobe Photoshop CC 20.x< 20.0.9 /21.x < 21.1.1 多个漏洞 (macOS APSB20-14)	critical
134704	Adobe Reader < 2015.006.30518 / 2017.011.30166 / 2020.006.20042 多个漏洞 (APSB20-13) (macOS)	critical
134703	Adobe Acrobat < 2015.006.30518 / 2017.011.30166 / 2020.006.20042 多个漏洞 (APSB20-13) (macOS)	critical
134700	Google Chrome < 80.0.3987.149 多个漏洞	high
134628	VMware Fusion 11.x < 11.5.2 多个漏洞 (VMSA-2020-0004)	high
134408	Microsoft Office 产品的安全更新（2020 年 3 月）(macOS)	high
134406	Mozilla Firefox ESR < 68.6	critical
134404	Mozilla Firefox < 74.0	critical
134216	安装了 VMware Carbon Black Cloud Endpoint Standard (macOS)	info
134214	Google Chrome < 80.0.3987.132 漏洞	high
134113	Wireshark 2.6.x < 2.6.15 多个漏洞 (macOS)	high
134111	Wireshark 3.2.x < 3.2.2 多个漏洞 (macOS)	high
134109	Wireshark 3.0.x < 3.0.9 多个漏洞 (macOS)	high
133953	Google Chrome < 80.0.3987.122 多个漏洞	high
133849	Mozilla Firefox ESR < 68.5	high
133847	Google Chrome < 80.0.3987.116 多个漏洞	high
133692	Mozilla Firefox < 73.0	high
133690	Mozilla Thunderbird < 68.5	high
133671	Adobe Reader < 2015.006.30510 / 2017.011.30158 / 2020.006.20034 多个漏洞 (APSB20-05) (macOS)	critical
133670	Adobe Acrobat < 2015.006.30510 / 2020.006.20034 多个漏洞 (APSB20-05) (macOS)	critical
133650	Microsoft Office 产品的安全更新（2020 年 2 月）(macOS)	high
133606	Adobe Flash Player for Mac <= 32.0.0.321 (APSB20-06)	high
133531	macOS 10.15.x < 10.15.3/10.14.x < 10.14.6/10.13.x < 10.13.6	critical
133464	Google Chrome < 80.0.3987.87 多个漏洞	high
133214	Wireshark 3.2.x < 3.2.1 拒绝服务 (DoS) 漏洞 (macOS)	high
133211	Wireshark 3.0.x < 3.0.8 拒绝服务 (DoS) 漏洞 (macOS)	medium
133180	Google Chrome 浏览器扩展枚举 (macOS)	info
133052	Google Chrome < 79.0.3945.130 多个漏洞	high
132938	Microsoft Office 产品的安全更新（2020 年 1 月）(macOS)	high
132773	Mozilla Thunderbird < 68.4.1	high
132716	Google Chrome < 79.0.3945.117 漏洞	high
132713	Mozilla Firefox < 72.0.1	high
132712	Mozilla Firefox ESR < 68.4.1	high
132710	Mozilla Firefox ESR < 68.4	high
132708	Mozilla Firefox < 72.0	high
132096	Google Chrome < 79.0.3945.88 漏洞	high
132047	Apple Xcode < 11.3 代码执行 (macOS)	high
132035	Adobe Reader < 2015.006.30508 / 2017.011.30156 / 2019.021.20058 多个漏洞 (APSB19-55) (macOS)	critical

检测

Nessus 的 MacOS X Local Security Checks 系列

high

critical

high

high

critical

critical

high

high

high

high

high

critical

critical

critical

critical

high

high

high

critical

critical

info

high

high

high

high

high

high

high

high

high

critical

critical

high

high

critical

high

high

medium

info

high

high

high

high

high

high

high

high

high

high

critical