Om sikkerhedsindholdet i sikkerhedsopdatering 2021-004 Mojave
I dette dokument er sikkerhedsindholdet i sikkerhedsopdatering 2021-004 Mojave beskrevet.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
Sikkerhedsopdatering 2021-004 Mojave
AMD
Fås til: macOS Mojave
Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30676: shrek_wzw
AMD
Fås til: macOS Mojave
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30678: Yu Wang fra Didi Research America
apache
Fås til: macOS Mojave
Effekt: Flere problemer i Apache
Beskrivelse: Flere problemer i Apache blev løst ved at opdatere Apache til version 2.4.46.
CVE-2021-30690: En anonym programmør
AppleScript
Fås til: macOS Mojave
Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30669: Yair Hoffman
Core Services
Fås til: macOS Mojave
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Fås til: macOS Mojave
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30724: Mickey Jin (@patch1t) fra Trend Micro
Graphics Drivers
Fås til: macOS Mojave
Effekt: Et out-of-bounds-skriveproblem er løst via forbedret kontrol af grænser.
Beskrivelse: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder.
CVE-2021-30735: Jack Dates fra RET2 Systems, Inc. (@ret2systems), der arbejder med Trend Micros Zero Day Initiative
Heimdal
Fås til: macOS Mojave
Effekt: Et skadeligt program kan forårsage Denial of Service-angreb eller muligvis afsløre hukommelsesindhold
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Fås til: macOS Mojave
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Fås til: macOS Mojave
Effekt: Behandling af servermeddelelser med skadelig kode kan føre til beskadigelse af heap
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Fås til: macOS Mojave
Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Fås til: macOS Mojave
Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket kunne medføre afsløring af brugeroplysninger
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Fås til: macOS Mojave
Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-30687: Hou JingYi (@hjy79425575) fra Qihoo 360
ImageIO
Fås til: macOS Mojave
Effekt: Behandling af et skadeligt ASTC-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30705: Ye Zhang fra Baidu Security
Intel Graphics Driver
Fås til: macOS Mojave
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2021-30728: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Fås til: macOS Mojave
Effekt: Et out-of-bounds-skriveproblem er løst via forbedret kontrol af grænser.
Beskrivelse: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder.
CVE-2021-30726: Yinyi Wu(@3ndy1) fra Qihoo 360 Vulcan Team
Kernel
Fås til: macOS Mojave
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30704: En anonym programmør
Kernel
Fås til: macOS Mojave
Effekt: Et problem med beskadiget hukommelse er løst via forbedret validering
Beskrivelse: En lokal hacker kan opnå hævede rettigheder.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab
Login Window
Fås til: macOS Mojave
Effekt: En person med fysisk adgang til en Mac kan muligvis omgå log ind-vinduet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30702: Jewel Lambert fra Original Spin, LLC.
Fås til: macOS Mojave
Effekt: Et logikproblem er løst gennem forbedret statusadministration
Beskrivelse: En hacker i en privilegeret netværksposition kan muligvis forvanske programstatus.
CVE-2021-30696: Fabian Ising og Damian Poddebniak fra Münster University of Applied Sciences
Model I/O
Fås til: macOS Mojave
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30819
Model I/O
Fås til: macOS Mojave
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.
CVE-2021-30723: Mickey Jin (@patch1t) fra Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) fra Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) fra Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Fås til: macOS Mojave
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30746: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Fås til: macOS Mojave
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.
CVE-2021-30693: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Fås til: macOS Mojave
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-30695: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Fås til: macOS Mojave
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30708: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Fås til: macOS Mojave
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30709: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Fås til: macOS Mojave
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2021-30725: Mickey Jin (@patch1t) fra Trend Micro
NSOpenPanel
Fås til: macOS Mojave
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Fås til: macOS Mojave
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Fås til: macOS Mojave
Effekt: Et problem med stivalideringslogik for links, der ikke kan ændres, er løst ved hjælp af forbedret rensning af stier
Beskrivelse: Et skadeligt program kan overskrive vilkårlige arkiver.
CVE-2021-30738: Qingyang Chen fra Topsec Alpha Team, Csaba Fitzl (@theevilbit) fra Offensive Security
Security
Fås til: macOS Mojave
Effekt: Et problem med beskadiget hukommelse i ASN.1-dekoderen er løst ved at fjerne den sårbare kode
Beskrivelse: Behandling af et skadeligt certifikat kan medføre afvikling af vilkårlig kode.
CVE-2021-30737: xerub
smbx
Fås til: macOS Mojave
Effekt: En hacker med en privilegeret netværksposition kan udføre et DoS-angreb
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30716: Aleksandar Nikolic fra Cisco Talos
smbx
Fås til: macOS Mojave
Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2021-30717: Aleksandar Nikolic fra Cisco Talos
smbx
Fås til: macOS Mojave
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30712: Aleksandar Nikolic fra Cisco Talos
smbx
Fås til: macOS Mojave
Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2021-30721: Aleksandar Nikolic fra Cisco Talos
smbx
Fås til: macOS Mojave
Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger
Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.
CVE-2021-30722: Aleksandar Nikolic fra Cisco Talos
Yderligere anerkendelser
Bluetooth
Vi vil gerne takke say2 fra ENKI for hjælpen.
CFString
Vi vil gerne takke en anonym programmør for hjælpen.
CoreCapture
Vi vil gerne takke Zuozhi Fan (@pattern_F_) fra Ant-financial TianQiong Security Lab for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.