Om sikkerhedsindholdet i macOS Big Sur 11.2, sikkerhedsopdatering 2021-001 Catalina, sikkerhedsopdatering 2021-001 Mojave

I dette dokument beskrives sikkerhedsindholdet i macOS Big Sur 11.2, sikkerhedsopdatering 2021-001 Catalina, sikkerhedsopdatering 2021-001 Mojave.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Big Sur 11.2, sikkerhedsopdatering 2021-001 Catalina, sikkerhedsopdatering 2021-001 Mojave

Analytics

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1761: Cees Elzinga

APFS

Fås til: macOS Big Sur 11.0.1

Effekt: En lokal bruger kan muligvis læse vilkårlige arkiver

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2021-1797: Thomas Tempelmann

CFNetwork Cache

Fås til: macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2020-27945: Zhuo Liang fra Qihoo 360 Vulcan Team

CoreAnimation

Fås til: macOS Big Sur 11.0.1

Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket kunne medføre afsløring af brugeroplysninger

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-1760: @S0rryMybad fra 360 Vulcan Team

CoreAudio

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1747: JunDong Xie fra Ant Security Light-Year Lab

CoreGraphics

Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-1776: Ivan Fratric fra Google Project Zero

CoreMedia

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1759: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT

CoreText

Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.

CVE-2021-1772: Mickey Jin (@patch1t) fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

CoreText

Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1792: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Crash Reporter

Fås til: macOS Catalina 10.15.7

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1761: Cees Elzinga

Crash Reporter

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Flere problemer er løst via forbedret logik.

CVE-2021-1787: James Hutchins

Crash Reporter

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: En lokal bruger kan muligvis oprette eller redigere systemarkiver

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1786: Csaba Fitzl (@theevilbit) fra Offensive Security

Directory Utility

Fås til: macOS Catalina 10.15.7

Effekt: Et skadeligt program kan muligvis få adgang til private oplysninger

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) fra SecuRing

Endpoint Security

Fås til: macOS Catalina 10.15.7

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2021-1802: Zhongcheng Li (@CK01) fra WPS Security Response Center

FairPlay

Fås til: macOS Big Sur 11.0.1

Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun og Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

FontParser

Fås til: macOS Catalina 10.15.7

Effekt: Behandling af en skadelig skrift kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1790: Peter Nguyen Vu Hoang fra STAR Labs

FontParser

Fås til: macOS Mojave 10.14.6

Effekt: Behandling af en skadelig skrift kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2021-1775: Mickey Jin og Qi Sun fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

FontParser

Fås til: macOS Mojave 10.14.6

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-29608: Xingwei Lin fra Ant Security Light-Year Lab

FontParser

Fås til: macOS Big Sur 11.0.1 og macOS Catalina 10.15.7

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1758: Peter Nguyen fra STAR Labs

ImageIO

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et adgangsproblem er løst gennem forbedret hukommelseshåndtering.

CVE-2021-1783: Xingwei Lin fra Ant Security Light-Year Lab

ImageIO

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1741: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab

ImageIO

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1773: Xingwei Lin fra Ant Security Light-Year Lab

ImageIO

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: Det var et out-of-bounds-læseproblem i curl. Problemet er løst ved forbedret kontrol af grænser.

CVE-2021-1778: Xingwei Lin fra Ant Security Light-Year Lab

ImageIO

Fås til: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1736: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1785: Xingwei Lin fra Ant Security Light-Year Lab

ImageIO

Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1766: Danny Rosseau fra Carve Systems

ImageIO

Fås til: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1818: Xingwei Lin fra Ant-Financial Light-Year Security Lab

ImageIO

Fås til: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1742: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin(@singi21a) fra THEORI, Mickey Jin og Qi Sun fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin fra Ant Security Light-Year Lab

ImageIO

Fås til: macOS Big Sur 11.0.1 og macOS Catalina 10.15.7

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1737: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1738: Lei Sun

CVE-2021-1744: Xingwei Lin fra Ant Security Light-Year Lab

IOKit

Fås til: macOS Big Sur 11.0.1

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: En logisk fejl i kext-indlæsning blev løst ved forbedret håndtering af status.

CVE-2021-1779: Csaba Fitzl (@theevilbit) fra Offensive Security

IOSkywalkFamily

Fås til: macOS Big Sur 11.0.1

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) fra Alibaba Security, Proteas

Kernel

Fås til: macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et logikproblem, som resulterede i beskadiget hukommelse. Det er løst ved hjælp af forbedret statusadministration.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab

Kernel

Fås til: macOS Big Sur 11.0.1

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-1764: @m00nbsd

Kernel

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2021-1782: En anonym programmør

Kernel

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer er løst via forbedret logik.

CVE-2021-1750: @0xalsr

Login Window

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: En hacker i en privilegeret netværksposition kan muligvis omgå godkendelsespolitikken

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2020-29633: Jewel Lambert fra Original Spin, LLC.

Messages

Fås til: macOS Big Sur 11.0.1

Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

Beskrivelse: Der var et fortrolighedsproblem i behandlingen af kontaktkort. Det er løst ved hjælp af forbedret statusadministration.

CVE-2021-1781: Csaba Fitzl (@theevilbit) fra Offensive Security

Messages

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: En bruger, der er fjernet fra en iMessage-gruppe, kan deltage i gruppen igen

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)

Model I/O

Fås til: macOS Big Sur 11.0.1

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1762: Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Model I/O

Fås til: macOS Catalina 10.15.7

Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) fra Topsec Alpha Lab

Model I/O

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2021-1763: Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Model I/O

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af heap

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1767: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Model I/O

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1745: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Model I/O

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1753: Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Model I/O

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1768: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

NetFSFramework

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: Åbning af en skadelig Samba-netværksmappe kan medføre kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2021-1751: Mikko Kenttälä (@Turmio_) fra SensorFu

OpenLDAP

Fås til: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-25709

Power Management

Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-27938: Tim Michaud (@TimGMichaud) fra Leviathan

Screen Sharing

Fås til: macOS Big Sur 11.0.1

Effekt: Flere problemer i pcre

Beskrivelse: Flere problemer blev løst ved opdatering til version 8.44.

CVE-2019-20838

CVE-2020-14155

SQLite

Fås til: macOS Catalina 10.15.7

Effekt: Flere problemer i SQLite

Beskrivelse: Flere problemer er løst med forbedret kontrol.

CVE-2020-15358

Swift

Fås til: macOS Big Sur 11.0.1

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-1769: CodeColorist fra Ant-Financial Light-Year Labs

WebKit

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-1788: Francisco Alonso (@revskills)

WebKit

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af skadeligt webindhold kan medføre overtrædelse af sandbox-politikken for iframe

Beskrivelse: Problemet blev løst ved forbedret sandbox-håndhævelse for iframe.

CVE-2021-1765: Eliya Stein fra Confiant

CVE-2021-1801: Eliya Stein fra Confiant

WebKit

Fås til: macOS Big Sur 11.0.1

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2021-1789: @S0rryMybad fra 360 Vulcan Team

WebKit

Fås til: macOS Big Sur 11.0.1

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-1871: En anonym programmør

CVE-2021-1870: En anonym programmør

WebRTC

Fås til: macOS Big Sur 11.0.1

Effekt: Et skadeligt websted kan muligvis have adgang til fortrolige porte på vilkårlige servere

Beskrivelse: Et problem med omdirigering til en port blev håndteret ved hjælp af yderligere portvalidering.

CVE-2021-1799: Gregory Vishnepolsky og Ben Seri fra Armis Security samt Samy Kamkar

XNU

Fås til: macOS Big Sur 11.0.1

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2021-30869: Apple

Yderligere anerkendelser

Kernel

Vi vil gerne takke Junzhi Lu (@pwn0rz), Mickey Jin og Jesse Change fra Trend Micro for hjælpen.

libpthread

Vi vil gerne takke CodeColorist fra Ant-Financial Light-Year Labs for hjælpen.

Login Window

Vi vil gerne takke Jose Moises Romero-Villanueva fra CrySolve for hjælpen.

Mail Drafts

Vi vil gerne takke Jon Bottarini fra HackerOne for hjælpen.

Screen Sharing Server

Vi vil gerne takke @gorelics for hjælpen.

WebRTC

Vi vil gerne takke Philipp Hancke for hjælpen.