Om sikkerhedsindholdet i sikkerhedsopdatering 2021-003 Catalina
I dette dokument beskrives sikkerhedsindholdet i sikkerhedsopdatering 2021-003 Catalina.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
Sikkerhedsopdatering 2021-003 Catalina
AMD
Fås til: macOS Catalina
Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30676: shrek_wzw
AMD
Fås til: macOS Catalina
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30678: Yu Wang fra Didi Research America
App Store
Fås til: macOS Catalina
Effekt: Et problem med stihåndtering er løst via forbedret validering
Beskrivelse: Et skadeligt program kan muligvis frigøre sig fra sin sandbox.
CVE-2021-30688: Thijs Alkemade fra Computest Research Division
AppleScript
Fås til: macOS Catalina
Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30669: Yair Hoffman
Audio
Fås til: macOS Catalina
Effekt: Parsing af et skadeligt lydarkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30685: Mickey Jin (@patch1t) fra Trend Micro
CoreAudio
Fås til: macOS Catalina
Effekt: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser
Beskrivelse: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse.
CVE-2021-30686: Mickey Jin fra Trend Micro, der arbejder med Trend Micro Zero Day Initiative
Core Services
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Fås til: macOS Catalina
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30724: Mickey Jin (@patch1t) fra Trend Micro
Dok
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis få adgang til en brugers opkaldshistorik
Beskrivelse: Et adgangsproblem er løst med forbedrede adgangsbegrænsninger.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2020-29629: en anonym programmør
FontParser
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2020-29629: en anonym programmør
Graphics Drivers
Fås til: macOS Catalina
Effekt: En hacker kan forårsage uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30684: Liu Long fra Ant Security Light-Year Lab
Graphics Drivers
Fås til: macOS Catalina
Effekt: Et out-of-bounds-skriveproblem er løst via forbedret kontrol af grænser.
Beskrivelse: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder.
CVE-2021-30735: Jack Dates fra RET2 Systems, Inc. (@ret2systems), der arbejder med Trend Micros Zero Day Initiative
Heimdal
Fås til: macOS Catalina
Effekt: Et skadeligt program kan forårsage Denial of Service-angreb eller muligvis afsløre hukommelsesindhold
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Fås til: macOS Catalina
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Fås til: macOS Catalina
Effekt: Behandling af servermeddelelser med skadelig kode kan føre til beskadigelse af heap
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Fås til: macOS Catalina
Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Fås til: macOS Catalina
Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket kunne medføre afsløring af brugeroplysninger
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-30687: Hou JingYi (@hjy79425575) fra Qihoo 360
ImageIO
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30701: Mickey Jin (@patch1t) fra Trend Micro og Ye Zhang fra Baidu Security
ImageIO
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30743: CFF fra Topsec Alpha Team, en anonym programmør og Jeonghoon Shin(@singi21a) fra THEORI, der arbejder med Trend Micros Zero Day Initiative
ImageIO
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt ASTC-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30705: Ye Zhang fra Baidu Security
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2021-30728: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: Et out-of-bounds-læseproblem er løst ved at fjerne den sårbare kode
Beskrivelse: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.
CVE-2021-30719: En anonym programmør, der arbejder med Trend Micro Zero Day Initiative
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: Et out-of-bounds-skriveproblem er løst via forbedret kontrol af grænser.
Beskrivelse: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder.
CVE-2021-30726: Yinyi Wu(@3ndy1) fra Qihoo 360 Vulcan Team
Kernel
Fås til: macOS Catalina
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30704: En anonym programmør
Kernel
Fås til: macOS Catalina
Effekt: Behandling af en skadelig besked kan medføre et DoS-angreb
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30715: National Cyber Security Centre (NCSC) i Storbritannien
Kernel
Fås til: macOS Catalina
Effekt: Et problem med beskadiget hukommelse er løst via forbedret validering
Beskrivelse: En lokal hacker kan opnå hævede rettigheder.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab
Login Window
Fås til: macOS Catalina
Effekt: En person med fysisk adgang til en Mac kan muligvis omgå log ind-vinduet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30702: Jewel Lambert fra Original Spin, LLC.
Fås til: macOS Catalina
Effekt: Et logikproblem er løst gennem forbedret statusadministration
Beskrivelse: En hacker i en privilegeret netværksposition kan muligvis forvanske programstatus.
CVE-2021-30696: Fabian Ising og Damian Poddebniak fra Münster University of Applied Sciences
Model I/O
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30819
Model I/O
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.
CVE-2021-30723: Mickey Jin (@patch1t) fra Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) fra Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) fra Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30746: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.
CVE-2021-30693: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-30695: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Fås til: macOS Catalina
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30708: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30709: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Fås til: macOS Catalina
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2021-30725: Mickey Jin (@patch1t) fra Trend Micro
NSOpenPanel
Fås til: macOS Catalina
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Fås til: macOS Catalina
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
Security
Fås til: macOS Catalina
Effekt: Et problem med beskadiget hukommelse i ASN.1-dekoderen er løst ved at fjerne den sårbare kode
Beskrivelse: Behandling af et skadeligt certifikat kan medføre afvikling af vilkårlig kode.
CVE-2021-30737: xerub
smbx
Fås til: macOS Catalina
Effekt: En hacker med en privilegeret netværksposition kan udføre et DoS-angreb
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30716: Aleksandar Nikolic fra Cisco Talos
smbx
Fås til: macOS Catalina
Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2021-30717: Aleksandar Nikolic fra Cisco Talos
smbx
Fås til: macOS Catalina
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30712: Aleksandar Nikolic fra Cisco Talos
smbx
Fås til: macOS Catalina
Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2021-30721: Aleksandar Nikolic fra Cisco Talos
smbx
Fås til: macOS Catalina
Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger
Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.
CVE-2021-30722: Aleksandar Nikolic fra Cisco Talos
TCC
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis sende uautoriserede Apple-begivenheder til Finder
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.
CVE-2021-30671: Ryan Bell (@iRyanBell)
Yderligere anerkendelser
App Store
Vi vil gerne takke Thijs Alkemade fra Computest Research Division for hjælpen.
CFString
Vi vil gerne takke en anonym programmør for hjælpen.
CoreCapture
Vi vil gerne takke Zuozhi Fan (@pattern_F_) fra Ant-financial TianQiong Security Lab for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.