Informationen zum Sicherheitsinhalt des Sicherheitsupdates 2021-003 Catalina

In diesem Dokument wird der Sicherheitsinhalt des Sicherheitsupdates 2021-003 Mojave beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

Sicherheitsupdate 2021-003 Catalina

AMD

Verfügbar für: macOS Catalina

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30676: shrek_wzw

AMD

Verfügbar für: macOS Catalina

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30678: Yu Wang von Didi Research America

App Store

Verfügbar für: macOS Catalina

Auswirkung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

Beschreibung: Ein Schadprogramm kann die Sandbox umgehen.

CVE-2021-30688: Thijs Alkemade von Computest Research Division

AppleScript

Verfügbar für: macOS Catalina

Auswirkung: Eine schadhafte Anwendung kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30669: Yair Hoffman

Audio

Verfügbar für: macOS Catalina

Auswirkung: Die Analyse einer in böswilliger Absicht erstellten Audiodatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30685: Mickey Jin (@patch1t) von Trend Micro

CoreAudio

Verfügbar für: macOS Catalina

Auswirkung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen.

CVE-2021-30686: Mickey Jin von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Core Services

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2021-30681: Zhongcheng Li (CK01)

CVMS

Verfügbar für: macOS Catalina

Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30724: Mickey Jin (@patch1t) von Trend Micro

Dock

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm kann möglicherweise auf den Anrufverlauf eines Benutzers zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2021-30673: Josh Parnham (@joshparnham)

FontParser

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-29629: Ein anonymer Forscher

FontParser

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-29629: Ein anonymer Forscher

Graphics Drivers

Verfügbar für: macOS Catalina

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30684: Liu Long von Ant Security Light-Year Lab

Graphics Drivers

Verfügbar für: macOS Catalina

Auswirkung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

Beschreibung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

CVE-2021-30735: Jack Dates von RET2 Systems, Inc. (@ret2systems) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Heimdal

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm kann einen Denial-of-Service verursachen oder möglicherweise Speicherinhalte offenlegen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

Verfügbar für: macOS Catalina

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

Heimdal

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Servermeldungen kann zu einer Heapbeschädigung führen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Verfügbar für: macOS Catalina

Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm konnte willkürlichen Code ausführen, der zur Kompromittierung der Benutzerdaten führen kann.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30687: Hou JingYi (@hjy79425575) von Qihoo 360

ImageIO

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30701: Mickey Jin (@patch1t) von Trend Micro und Ye Zhang von Baidu Security

ImageIO

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30743: CFF des Topsec Alpha-Teams, ein anonymer Forscher und Jeonghoon Shin (@singi21a) von THEORI, der mit Trend Micro Zero Day Initiative zusammenarbeitet

ImageIO

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten ASTC-Datei kann Speicherinhalte offenlegen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30705: Ye Zhang von Baidu Security

Intel Graphics Driver

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30728: Liu Long von Ant Security Light-Year Lab

Intel Graphics Driver

Verfügbar für: macOS Catalina

Auswirkung: Ein Problem mit Lesevorgängen außerhalb der Speicherbegrenzungen wurde durch Entfernen des angreifbaren Codes behoben.

Beschreibung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

CVE-2021-30719: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Intel Graphics Driver

Verfügbar für: macOS Catalina

Auswirkung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

Beschreibung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

CVE-2021-30726: Yinyi Wu (@3ndy1) von Qihoo 360 Vulcan Team

Kernel

Verfügbar für: macOS Catalina

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30704: Ein anonymer Forscher

Kernel

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30715: Britisches National Cyber Security Centre (NCSC)

Kernel

Verfügbar für: macOS Catalina

Auswirkung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

Beschreibung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.

CVE-2021-30739: Zuozhi Fan (@pattern_F_) von Ant Group Tianqiong Security Lab

Login Window

Verfügbar für: macOS Catalina

Auswirkung: Eine Person mit physischem Zugriff auf einen Mac kann möglicherweise das Anmeldefenster umgehen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30702: Jewel Lambert von Original Spin, LLC.

Mail

Verfügbar für: macOS Catalina

Auswirkung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben

Beschreibung: Ein Angreifer in einer privilegierten Netzwerkposition kann den Programmstatus falsch darstellen.

CVE-2021-30696: Fabian Ising und Damian Poddebniak von der Fachhochschule Münster

Model I/O

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann Speicherinhalte offenlegen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30819

Model I/O

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann Speicherinhalte offenlegen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30723: Mickey Jin (@patch1t) von Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t) von Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t) von Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t) von Trend Micro

Model I/O

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann Speicherinhalte offenlegen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30746: Mickey Jin (@patch1t) von Trend Micro

Model I/O

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2021-30693: Mickey Jin (@patch1t) und Junzhi Lu (@pwn0rz) von Trend Micro

Model I/O

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann Speicherinhalte offenlegen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30695: Mickey Jin (@patch1t) und Junzhi Lu (@pwn0rz) von Trend Micro

Model I/O

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30708: Mickey Jin (@patch1t) und Junzhi Lu (@pwn0rz) von Trend Micro

Model I/O

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann Speicherinhalte offenlegen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30709: Mickey Jin (@patch1t) von Trend Micro

Model I/O

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten USD-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30725: Mickey Jin (@patch1t) von Trend Micro

NSOpenPanel

Verfügbar für: macOS Catalina

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

Verfügbar für: macOS Catalina

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2020-36226

CVE-2020-36229

CVE-2020-36225

CVE-2020-36224

CVE-2020-36223

CVE-2020-36227

CVE-2020-36228

CVE-2020-36221

CVE-2020-36222

CVE-2020-36230

Security

Verfügbar für: macOS Catalina

Auswirkung: Ein Speicherfehler im ASN.1-Decoder wurde durch Entfernen des angreifbaren Codes behoben.

Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen.

CVE-2021-30737: xerub

smbx

Verfügbar für: macOS Catalina

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service durchführen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30716: Aleksandar Nikolic von Cisco Talos

smbx

Verfügbar für: macOS Catalina

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30717: Aleksandar Nikolic von Cisco Talos

smbx

Verfügbar für: macOS Catalina

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30712: Aleksandar Nikolic von Cisco Talos

smbx

Verfügbar für: macOS Catalina

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann vertrauliche Benutzerdaten offenlegen

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2021-30721: Aleksandar Nikolic von Cisco Talos

smbx

Verfügbar für: macOS Catalina

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann vertrauliche Benutzerdaten offenlegen

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30722: Aleksandar Nikolic von Cisco Talos

TCC

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm kann möglicherweise nicht autorisierte Apple-Ereignisse an den Finder senden.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2021-30671: Ryan Bell (@iRyanBell)

Zusätzliche Danksagung

App Store

Wir möchten uns bei Thijs Alkemade von Computest Research Division für die Unterstützung bedanken.

CFString

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

CoreCapture

Wir möchten Zuozhi Fan (@pattern_F_) von Ant-Financial TianQiong Security Lab für die Unterstützung danken.