Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Big Sur 11.2, Ενημέρωση ασφάλειας 2021-001 Catalina, Ενημέρωση ασφάλειας 2021-001 Mojave

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.2, Ενημέρωση ασφάλειας 2021-001 Catalina, Ενημέρωση ασφάλειας 2021-001 Mojave.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Big Sur 11.2, Ενημέρωση ασφάλειας 2021-001 Catalina, Ενημέρωση ασφάλειας 2021-001 Mojave

Analytics

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1761: Cees Elzinga

APFS

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εκτελέσει ανάγνωση αυθαίρετων αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2021-1797: Thomas Tempelmann

CFNetwork Cache

Διατίθεται για: macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2020-27945: Zhuo Liang της ομάδας Qihoo 360 Vulcan

CoreAnimation

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Μια κακόβουλη εφαρμογή θα μπορούσε να εκτελέσει αυθαίρετο κώδικα οδηγώντας σε παραβίαση των πληροφοριών χρήστη

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1760: @S0rryMybad της 360 Vulcan Team

CoreAudio

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1747: JunDong Xie του Ant Security Light-Year Lab

CoreGraphics

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1776: Ivan Fratric του Google Project Zero

CoreMedia

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1759: Hou JingYi (@hjy79425575) της Qihoo 360 CERT

CoreText

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης στοίβας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1772: Mickey Jin (@patch1t) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreText

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1792: Mickey Jin και Junzhi Lu της Trend Micro σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Crash Reporter

Διατίθεται για: macOS Catalina 10.15.7

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1761: Cees Elzinga

Crash Reporter

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2021-1787: James Hutchins

Crash Reporter

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να δημιουργήσει ή να τροποποιήσει αρχεία συστήματος

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1786: Csaba Fitzl (@theevilbit) της Offensive Security

Directory Utility

Διατίθεται για: macOS Catalina 10.15.7

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε απόρρητες πληροφορίες

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) του SecuRing

Endpoint Security

Διατίθεται για: macOS Catalina 10.15.7

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1802: Zhongcheng Li (@CK01) του WPS Security Response Center

FairPlay

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun και Mickey Jin της ομάδας Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

FontParser

Διατίθεται για: macOS Catalina 10.15.7

Αποτέλεσμα: Η επεξεργασία μια κακόβουλης γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1790: Peter Nguyen Vu Hoang του STAR Labs

FontParser

Διατίθεται για: macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία μια κακόβουλης γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2021-1775: Mickey Jin και Qi Sun της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

FontParser

Διατίθεται για: macOS Mojave 10.14.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-29608: Xingwei Lin του Ant Security Light-Year Lab

FontParser

Διατίθεται για: macOS Big Sur 11.0.1 και macOS Catalina 10.15.7

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1758: Peter Nguyen του STAR Labs

ImageIO

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένη διαχείριση της μνήμης.

CVE-2021-1783: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1741: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin και Junzhi Lu της ομάδας Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1773: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στο curl. Αυτό το ζήτημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1778: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1736: Xingwei Lin της Ant Security Light-Year Lab

CVE-2021-1785: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1766: Danny Rosseau της Carve Systems

ImageIO

Διατίθεται για: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1818: Xingwei Lin του Ant-Financial Light-Year Security Lab

ImageIO

Διατίθεται για: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1742: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin (@singi21a) της THEORI, Mickey Jin και Qi Sun της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: macOS Big Sur 11.0.1 και macOS Catalina 10.15.7

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1737: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1738: Lei Sun

CVE-2021-1744: Xingwei Lin του Ant Security Light-Year Lab

IOKit

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα λογικής κατά τη φόρτωση kext αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-1779: Csaba Fitzl (@theevilbit) της Offensive Security

IOSkywalkFamily

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) της Alibaba Security, Proteas

Kernel

Διατίθεται για: macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα λογικής με αποτέλεσμα την αλλοίωση της μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) του Ant Group Tianqiong Security Lab

Kernel

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-1764: @m00nbsd

Kernel

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-1782: ανώνυμος ερευνητής

Kernel

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2021-1750: @0xalsr

Login Window

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να παρακάμψει την πολιτική ελέγχου ταυτότητας

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-29633: Jewel Lambert της Original Spin, LLC.

Messages

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα απορρήτου στον χειρισμό των καρτών επαφών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2021-1781: Csaba Fitzl (@theevilbit) της Offensive Security

Messages

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Ένας χρήστης που αφαιρείται από μια ομάδα iMessage θα μπορούσε να συμμετέχει ξανά

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)

Model I/O

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1762: Mickey Jin της Trend Micro σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Model I/O

Διατίθεται για: macOS Catalina 10.15.7

Αποτέλεσμα: Η επεξεργασία ενός αρχείου με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) του Topsec Alpha Lab

Model I/O

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2021-1763: Mickey Jin της ομάδας Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Model I/O

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία μιας εικόνας με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1767: Mickey Jin και Junzhi Lu της ομάδας Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Model I/O

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1745: Mickey Jin και Junzhi Lu της ομάδας Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Model I/O

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1753: Mickey Jin της ομάδας Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Model I/O

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1768: Mickey Jin και Junzhi Lu της ομάδας Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

NetFSFramework

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Η προσάρτηση ενός κακόβουλου κοινόχρηστου στοιχείου δικτύου Samba ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1751: Mikko Kenttälä (@Turmio_) της SensorFu

OpenLDAP

Διατίθεται για: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 και macOS Mojave 10.14.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-25709

Power Management

Διατίθεται για: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-27938: Tim Michaud (@TimGMichaud) της Leviathan

Screen Sharing

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Πολλαπλά προβλήματα στο pcre

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 8.44.

CVE-2019-20838

CVE-2020-14155

SQLite

Διατίθεται για: macOS Catalina 10.15.7

Αποτέλεσμα: Πολλά προβλήματα στο SQLite

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένους ελέγχους.

CVE-2020-15358

Swift

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1769: CodeColorist του Ant-Financial Light-Year Labs

WebKit

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-1788: Francisco Alonso (@revskills)

WebKit

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Το κακόβουλο περιεχόμενο ιστού ενδέχεται να παραβιάζει την πολιτική sandbox iframe

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επιβολή sandbox iframe.

CVE-2021-1765: Eliya Stein της Confiant

CVE-2021-1801: Eliya Stein της Confiant

WebKit

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-1789: @S0rryMybad της 360 Vulcan Team

WebKit

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-1871: ανώνυμος ερευνητής

CVE-2021-1870: ανώνυμος ερευνητής

WebRTC

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να έχει δυνατότητα πρόσβασης σε περιορισμένες θύρες σε τυχαίους διακομιστές

Περιγραφή: Ένα πρόβλημα ανακατεύθυνσης θύρας αντιμετωπίστηκε με επιπλέον επικύρωση θύρας.

CVE-2021-1799: Gregory Vishnepolsky και Ben Seri της Armis Security και Samy Kamkar

XNU

Διατίθεται για: macOS Big Sur 11.0.1

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-30869: Apple

Επιπλέον αναγνώριση

Kernel

Θα θέλαμε να ευχαριστήσουμε τους Junzhi Lu (@pwn0rz), Mickey Jin και Jesse Change της Trend Micro για τη βοήθειά τους.

libpthread

Θα θέλαμε να ευχαριστήσουμε τον CodeColorist του Ant-Financial Light-Year Labs για τη βοήθειά του.

Login Window

Θα θέλαμε να ευχαριστήσουμε τον Jose Moises Romero-Villanueva της CrySolve για τη βοήθειά του.

Mail Drafts

Θα θέλαμε να ευχαριστήσουμε τον Jon Bottarini της HackerOne για τη βοήθειά του.

Screen Sharing Server

Θα θέλαμε να ευχαριστήσουμε τον @gorelics για τη βοήθειά του.

WebRTC

Θα θέλαμε να ευχαριστήσουμε τον Philipp Hancke για τη βοήθειά του.