Om sikkerhedsindholdet i sikkerhedsopdatering 2021-004 Mojave

I dette dokument er sikkerhedsindholdet i sikkerhedsopdatering 2021-004 Mojave beskrevet.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

Sikkerhedsopdatering 2021-004 Mojave

Udgivet 24. maj 2021

AMD

Fås til: macOS Mojave

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30676: shrek_wzw

AMD

Fås til: macOS Mojave

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30678: Yu Wang fra Didi Research America

apache

Fås til: macOS Mojave

Effekt: Flere problemer i Apache

Beskrivelse: Flere problemer i Apache blev løst ved at opdatere Apache til version 2.4.46.

CVE-2021-30690: En anonym programmør

AppleScript

Fås til: macOS Mojave

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30669: Yair Hoffman

Core Services

Fås til: macOS Mojave

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2021-30681: Zhongcheng Li (CK01)

CVMS

Fås til: macOS Mojave

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30724: Mickey Jin (@patch1t) fra Trend Micro

Graphics Drivers

Fås til: macOS Mojave

Effekt: Et out-of-bounds-skriveproblem er løst via forbedret kontrol af grænser.

Beskrivelse: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder.

CVE-2021-30735: Jack Dates fra RET2 Systems, Inc. (@ret2systems), der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 21. juli 2021

Heimdal

Fås til: macOS Mojave

Effekt: Et skadeligt program kan forårsage Denial of Service-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

Fås til: macOS Mojave

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

Heimdal

Fås til: macOS Mojave

Effekt: Behandling af servermeddelelser med skadelig kode kan føre til beskadigelse af heap

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Fås til: macOS Mojave

Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Fås til: macOS Mojave

Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket kunne medføre afsløring af brugeroplysninger

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

Fås til: macOS Mojave

Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30687: Hou JingYi (@hjy79425575) fra Qihoo 360

ImageIO

Fås til: macOS Mojave

Effekt: Behandling af et skadeligt ASTC-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30705: Ye Zhang fra Baidu Security

Intel Graphics Driver

Fås til: macOS Mojave

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-30728: Liu Long fra Ant Security Light-Year Lab

Intel Graphics Driver

Fås til: macOS Mojave

Effekt: Et out-of-bounds-skriveproblem er løst via forbedret kontrol af grænser.

Beskrivelse: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder.

CVE-2021-30726: Yinyi Wu(@3ndy1) fra Qihoo 360 Vulcan Team

Post tilføjet 21. juli 2021

Kernel

Fås til: macOS Mojave

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30704: En anonym programmør

Kernel

Fås til: macOS Mojave

Effekt: Et problem med beskadiget hukommelse er løst via forbedret validering

Beskrivelse: En lokal hacker kan opnå hævede rettigheder.

CVE-2021-30739: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab

Post tilføjet 21. juli 2021

Login Window

Fås til: macOS Mojave

Effekt: En person med fysisk adgang til en Mac kan muligvis omgå log ind-vinduet

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30702: Jewel Lambert fra Original Spin, LLC.

Mail

Fås til: macOS Mojave

Effekt: Et logikproblem er løst gennem forbedret statusadministration

Beskrivelse: En hacker i en privilegeret netværksposition kan muligvis forvanske programstatus.

CVE-2021-30696: Fabian Ising og Damian Poddebniak fra Münster University of Applied Sciences

Post tilføjet 21. juli 2021

Model I/O

Fås til: macOS Mojave

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30819

Post tilføjet 25. maj 2022

Model I/O

Fås til: macOS Mojave

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2021-30723: Mickey Jin (@patch1t) fra Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t) fra Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t) fra Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t) fra Trend Micro

Model I/O

Fås til: macOS Mojave

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30746: Mickey Jin (@patch1t) fra Trend Micro

Model I/O

Fås til: macOS Mojave

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2021-30693: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro

Model I/O

Fås til: macOS Mojave

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30695: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro

Model I/O

Fås til: macOS Mojave

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30708: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro

Model I/O

Fås til: macOS Mojave

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30709: Mickey Jin (@patch1t) fra Trend Micro

Model I/O

Fås til: macOS Mojave

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30725: Mickey Jin (@patch1t) fra Trend Micro

NSOpenPanel

Fås til: macOS Mojave

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

Fås til: macOS Mojave

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-36226

CVE-2020-36229

CVE-2020-36225

CVE-2020-36224

CVE-2020-36223

CVE-2020-36227

CVE-2020-36228

CVE-2020-36221

CVE-2020-36222

CVE-2020-36230

PackageKit

Fås til: macOS Mojave

Effekt: Et problem med stivalideringslogik for links, der ikke kan ændres, er løst ved hjælp af forbedret rensning af stier

Beskrivelse: Et skadeligt program kan overskrive vilkårlige arkiver.

CVE-2021-30738: Qingyang Chen fra Topsec Alpha Team, Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 21. juli 2021

Security

Fås til: macOS Mojave

Effekt: Et problem med beskadiget hukommelse i ASN.1-dekoderen er løst ved at fjerne den sårbare kode

Beskrivelse: Behandling af et skadeligt certifikat kan medføre afvikling af vilkårlig kode.

CVE-2021-30737: xerub

Post tilføjet 21. juli 2021

smbx

Fås til: macOS Mojave

Effekt: En hacker med en privilegeret netværksposition kan udføre et DoS-angreb

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30716: Aleksandar Nikolic fra Cisco Talos

smbx

Fås til: macOS Mojave

Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30717: Aleksandar Nikolic fra Cisco Talos

smbx

Fås til: macOS Mojave

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30712: Aleksandar Nikolic fra Cisco Talos

smbx

Fås til: macOS Mojave

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2021-30721: Aleksandar Nikolic fra Cisco Talos

smbx

Fås til: macOS Mojave

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2021-30722: Aleksandar Nikolic fra Cisco Talos

 

Yderligere anerkendelser

Bluetooth

Vi vil gerne takke say2 fra ENKI for hjælpen.

Post tilføjet 25. maj 2022

CFString

Vi vil gerne takke en anonym programmør for hjælpen.

CoreCapture

Vi vil gerne takke Zuozhi Fan (@pattern_F_) fra Ant-financial TianQiong Security Lab for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: