Om sikkerhedsindholdet i macOS Big Sur 11.2, sikkerhedsopdatering 2021-001 Catalina, sikkerhedsopdatering 2021-001 Mojave
I dette dokument beskrives sikkerhedsindholdet i macOS Big Sur 11.2, sikkerhedsopdatering 2021-001 Catalina, sikkerhedsopdatering 2021-001 Mojave.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Big Sur 11.2, sikkerhedsopdatering 2021-001 Catalina, sikkerhedsopdatering 2021-001 Mojave
Analytics
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1761: Cees Elzinga
APFS
Fås til: macOS Big Sur 11.0.1
Effekt: En lokal bruger kan muligvis læse vilkårlige arkiver
Beskrivelse: Problemet er løst med forbedret tilladelseslogik.
CVE-2021-1797: Thomas Tempelmann
CFNetwork Cache
Fås til: macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2020-27945: Zhuo Liang fra Qihoo 360 Vulcan Team
CoreAnimation
Fås til: macOS Big Sur 11.0.1
Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket kunne medføre afsløring af brugeroplysninger
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2021-1760: @S0rryMybad fra 360 Vulcan Team
CoreAudio
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel
Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1747: JunDong Xie fra Ant Security Light-Year Lab
CoreGraphics
Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2021-1776: Ivan Fratric fra Google Project Zero
CoreMedia
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1759: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT
CoreText
Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.
CVE-2021-1772: Mickey Jin (@patch1t) fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
CoreText
Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1792: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Crash Reporter
Fås til: macOS Catalina 10.15.7
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1761: Cees Elzinga
Crash Reporter
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Flere problemer er løst via forbedret logik.
CVE-2021-1787: James Hutchins
Crash Reporter
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: En lokal bruger kan muligvis oprette eller redigere systemarkiver
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-1786: Csaba Fitzl (@theevilbit) fra Offensive Security
Directory Utility
Fås til: macOS Catalina 10.15.7
Effekt: Et skadeligt program kan muligvis få adgang til private oplysninger
Beskrivelse: Et logikproblem er løst via forbedret statusadministration.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) fra SecuRing
Endpoint Security
Fås til: macOS Catalina 10.15.7
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Et logikproblem er løst via forbedret statusadministration.
CVE-2021-1802: Zhongcheng Li (@CK01) fra WPS Security Response Center
FairPlay
Fås til: macOS Big Sur 11.0.1
Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse
Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun og Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
FontParser
Fås til: macOS Catalina 10.15.7
Effekt: Behandling af en skadelig skrift kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1790: Peter Nguyen Vu Hoang fra STAR Labs
FontParser
Fås til: macOS Mojave 10.14.6
Effekt: Behandling af en skadelig skrift kan medføre kørsel af vilkårlig kode
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2021-1775: Mickey Jin og Qi Sun fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
FontParser
Fås til: macOS Mojave 10.14.6
Effekt: En ekstern hacker kan lække hukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-29608: Xingwei Lin fra Ant Security Light-Year Lab
FontParser
Fås til: macOS Big Sur 11.0.1 og macOS Catalina 10.15.7
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1758: Peter Nguyen fra STAR Labs
ImageIO
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et adgangsproblem er løst gennem forbedret hukommelseshåndtering.
CVE-2021-1783: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1741: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-1773: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: Det var et out-of-bounds-læseproblem i curl. Problemet er løst ved forbedret kontrol af grænser.
CVE-2021-1778: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Fås til: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1736: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1785: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1766: Danny Rosseau fra Carve Systems
ImageIO
Fås til: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-1818: Xingwei Lin fra Ant-Financial Light-Year Security Lab
ImageIO
Fås til: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1742: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin(@singi21a) fra THEORI, Mickey Jin og Qi Sun fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Fås til: macOS Big Sur 11.0.1 og macOS Catalina 10.15.7
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1737: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1738: Lei Sun
CVE-2021-1744: Xingwei Lin fra Ant Security Light-Year Lab
IOKit
Fås til: macOS Big Sur 11.0.1
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: En logisk fejl i kext-indlæsning blev løst ved forbedret håndtering af status.
CVE-2021-1779: Csaba Fitzl (@theevilbit) fra Offensive Security
IOSkywalkFamily
Fås til: macOS Big Sur 11.0.1
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) fra Alibaba Security, Proteas
Kernel
Fås til: macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et logikproblem, som resulterede i beskadiget hukommelse. Det er løst ved hjælp af forbedret statusadministration.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab
Kernel
Fås til: macOS Big Sur 11.0.1
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2021-1764: @m00nbsd
Kernel
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.
CVE-2021-1782: En anonym programmør
Kernel
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Flere problemer er løst via forbedret logik.
CVE-2021-1750: @0xalsr
Login Window
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: En hacker i en privilegeret netværksposition kan muligvis omgå godkendelsespolitikken
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2020-29633: Jewel Lambert fra Original Spin, LLC.
Messages
Fås til: macOS Big Sur 11.0.1
Effekt: Et skadeligt program kan lække følsomme brugeroplysninger
Beskrivelse: Der var et fortrolighedsproblem i behandlingen af kontaktkort. Det er løst ved hjælp af forbedret statusadministration.
CVE-2021-1781: Csaba Fitzl (@theevilbit) fra Offensive Security
Messages
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: En bruger, der er fjernet fra en iMessage-gruppe, kan deltage i gruppen igen
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)
Model I/O
Fås til: macOS Big Sur 11.0.1
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1762: Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Model I/O
Fås til: macOS Catalina 10.15.7
Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) fra Topsec Alpha Lab
Model I/O
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2021-1763: Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Model I/O
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af heap
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1767: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Model I/O
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1745: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Model I/O
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1753: Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Model I/O
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1768: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
NetFSFramework
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: Åbning af en skadelig Samba-netværksmappe kan medføre kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst via forbedret statusadministration.
CVE-2021-1751: Mikko Kenttälä (@Turmio_) fra SensorFu
OpenLDAP
Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2020-25709
Power Management
Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2020-27938: Tim Michaud (@TimGMichaud) fra Leviathan
Screen Sharing
Fås til: macOS Big Sur 11.0.1
Effekt: Flere problemer i pcre
Beskrivelse: Flere problemer blev løst ved opdatering til version 8.44.
CVE-2019-20838
CVE-2020-14155
SQLite
Fås til: macOS Catalina 10.15.7
Effekt: Flere problemer i SQLite
Beskrivelse: Flere problemer er løst med forbedret kontrol.
CVE-2020-15358
Swift
Fås til: macOS Big Sur 11.0.1
Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2021-1769: CodeColorist fra Ant-Financial Light-Year Labs
WebKit
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af skadeligt webindhold kan medføre overtrædelse af sandbox-politikken for iframe
Beskrivelse: Problemet blev løst ved forbedret sandbox-håndhævelse for iframe.
CVE-2021-1765: Eliya Stein fra Confiant
CVE-2021-1801: Eliya Stein fra Confiant
WebKit
Fås til: macOS Big Sur 11.0.1
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.
CVE-2021-1789: @S0rryMybad fra 360 Vulcan Team
WebKit
Fås til: macOS Big Sur 11.0.1
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2021-1871: En anonym programmør
CVE-2021-1870: En anonym programmør
WebRTC
Fås til: macOS Big Sur 11.0.1
Effekt: Et skadeligt websted kan muligvis have adgang til fortrolige porte på vilkårlige servere
Beskrivelse: Et problem med omdirigering til en port blev håndteret ved hjælp af yderligere portvalidering.
CVE-2021-1799: Gregory Vishnepolsky og Ben Seri fra Armis Security samt Samy Kamkar
XNU
Fås til: macOS Big Sur 11.0.1
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.
CVE-2021-30869: Apple
Yderligere anerkendelser
Kernel
Vi vil gerne takke Junzhi Lu (@pwn0rz), Mickey Jin og Jesse Change fra Trend Micro for hjælpen.
libpthread
Vi vil gerne takke CodeColorist fra Ant-Financial Light-Year Labs for hjælpen.
Login Window
Vi vil gerne takke Jose Moises Romero-Villanueva fra CrySolve for hjælpen.
Mail Drafts
Vi vil gerne takke Jon Bottarini fra HackerOne for hjælpen.
Screen Sharing Server
Vi vil gerne takke @gorelics for hjælpen.
WebRTC
Vi vil gerne takke Philipp Hancke for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.