Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
Ενημέρωση ασφάλειας 2021-004 Mojave
Κυκλοφόρησε στις 24 Μαΐου 2021
AMD
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30676: shrek_wzw
AMD
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30678: Yu Wang της Didi Research America
apache
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Πολλαπλά προβλήματα στο Apache
Περιγραφή: Πολλαπλά προβλήματα στο Apache αντιμετωπίστηκαν μέσω ενημέρωσης του Apache στην έκδοση 2.4.46.
CVE-2021-30690: ανώνυμος ερευνητής
AppleScript
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30669: Yair Hoffman
Core Services
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30724: Mickey Jin (@patch1t) της Trend Micro
Graphics Drivers
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων
Περιγραφή: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα.
CVE-2021-30735: Jack Dates της RET2 Systems, Inc. (@ret2systems) σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
Η καταχώριση προστέθηκε στις 21 Ιουλίου 2021
Heimdal
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να προκαλέσει άρνηση υπηρεσίας συστήματος ή πιθανώς να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία κακόβουλων μηνυμάτων διακομιστή μπορεί να προκαλέσει αλλοίωση σωρού
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Μια κακόβουλη εφαρμογή θα μπορούσε να εκτελέσει αυθαίρετο κώδικα οδηγώντας σε παραβίαση των πληροφοριών χρήστη
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2021-30687: Hou JingYi (@hjy79425575) της Qihoo 360
ImageIO
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ASTC μπορεί να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30705: Ye Zhang της Baidu Security
Intel Graphics Driver
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2021-30728: Liu Long του Ant Security Light-Year Lab
Intel Graphics Driver
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων
Περιγραφή: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα.
CVE-2021-30726: Yinyi Wu (@3ndy1) της Qihoo 360 Vulcan Team
Η καταχώριση προστέθηκε στις 21 Ιουλίου 2021
Kernel
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30704: ανώνυμος ερευνητής
Kernel
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση
Περιγραφή: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αναβαθμίσει τα προνόμιά του.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) του Ant Group Tianqiong Security Lab
Η καταχώριση προστέθηκε στις 21 Ιουλίου 2021
Login Window
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε Mac ενδέχεται να μπορεί να παρακάμψει το παράθυρο σύνδεσης
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30702: Jewel Lambert της Original Spin, LLC.
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης
Περιγραφή: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να παραποιήσει την κατάσταση εφαρμογής.
CVE-2021-30696: Fabian Ising και Damian Poddebniak του Münster University of Applied Sciences
Η καταχώριση προστέθηκε στις 21 Ιουλίου 2021
Model I/O
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2021-30819
Η καταχώριση προστέθηκε στις 25 Μαΐου 2022
Model I/O
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2021-30723: Mickey Jin (@patch1t) της Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) της Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) της Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) της Trend Micro
Model I/O
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2021-30746: Mickey Jin (@patch1t) της Trend Micro
Model I/O
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2021-30693: Mickey Jin (@patch1t) και Junzhi Lu (@pwn0rz) της Trend Micro
Model I/O
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2021-30695: Mickey Jin (@patch1t) και Junzhi Lu (@pwn0rz) της Trend Micro
Model I/O
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2021-30708: Mickey Jin (@patch1t) και Junzhi Lu (@pwn0rz) της Trend Micro
Model I/O
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30709: Mickey Jin (@patch1t) της Trend Micro
Model I/O
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30725: Mickey Jin (@patch1t) της Trend Micro
NSOpenPanel
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένα πρόβλημα με τη λογική επικύρωσης διαδρομών για σκληρούς συνδέσμους αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης διαδρομών
Περιγραφή: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία.
CVE-2021-30738: Qingyang Chen της Topsec Alpha Team, Csaba Fitzl (@theevilbit) της Offensive Security
Η καταχώριση προστέθηκε στις 21 Ιουλίου 2021
Security
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένα πρόβλημα αλλοίωσης μνήμης στον αποκωδικοποιητή ASN.1 αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα
Περιγραφή: Η επεξεργασία ενός κακόβουλου πιστοποιητικού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα.
CVE-2021-30737: xerub
Η καταχώριση προστέθηκε στις 21 Ιουλίου 2021
smbx
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30716: Aleksandar Nikolic της Cisco Talos
smbx
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30717: Aleksandar Nikolic της Cisco Talos
smbx
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30712: Aleksandar Nikolic της Cisco Talos
smbx
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών
Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2021-30721: Aleksandar Nikolic της Cisco Talos
smbx
Διατίθεται για: macOS Mojave
Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2021-30722: Aleksandar Nikolic της Cisco Talos
Επιπλέον αναγνώριση
Bluetooth
Θα θέλαμε να ευχαριστήσουμε τον χρήστη say2 της ENKI για τη βοήθεια του.
Η καταχώριση προστέθηκε στις 25 Μαΐου 2022
CFString
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
CoreCapture
Θα θέλαμε να ευχαριστήσουμε τον Zuozhi Fan (@pattern_F_) του Ant-financial TianQiong Security Lab για τη βοήθειά του.