Tietoja suojauspäivitys 2021-004 Mojaven turvallisuussisällöstä
Tässä asiakirjassa kerrotaan suojauspäivitys 2021-004 Mojaven turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
Suojauspäivitys 2021-004 Mojave
AMD
Saatavuus: macOS Mojave
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30676: shrek_wzw
AMD
Saatavuus: macOS Mojave
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30678: Yu Wang (Didi Research America)
apache
Saatavuus: macOS Mojave
Vaikutus: apachessa esiintyi useita ongelmia.
Kuvaus: Apachessa olleet useat ongelmat on ratkaistu päivittämällä Apache versioon 2.4.46.
CVE-2021-30690: nimetön tutkija
AppleScript
Saatavuus: macOS Mojave
Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30669: Yair Hoffman
Core Services
Saatavuus: macOS Mojave
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Saatavuus: macOS Mojave
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30724: Mickey Jin (@patch1t, Trend Micro)
Graphics Drivers
Saatavuus: macOS Mojave
Vaikutus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
Kuvaus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
CVE-2021-30735: Trend Micron Zero Day Initiativen parissa työskentelevä Jack Dates (@ret2systems, RET2 Systems, Inc.)
Heimdal
Saatavuus: macOS Mojave
Vaikutus: Haittaohjelma saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Saatavuus: macOS Mojave
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Saatavuus: macOS Mojave
Vaikutus: Haitallisten palvelinviestien käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Saatavuus: macOS Mojave
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Saatavuus: macOS Mojave
Vaikutus: Haittaohjelma saattoi suorittaa mielivaltaista koodia, mikä vaaransi käyttäjätiedot.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Saatavuus: macOS Mojave
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30687: Hou JingYi (@hjy79425575, Qihoo 360)
ImageIO
Saatavuus: macOS Mojave
Vaikutus: Haitallisen ASTC-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30705: Ye Zhang (Baidu Security)
Intel Graphics Driver
Saatavuus: macOS Mojave
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Saatavuus: macOS Mojave
Vaikutus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
Kuvaus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
CVE-2021-30726: Yinyi Wu (@3ndy1, Qihoo 360 Vulcan Team)
Kernel
Saatavuus: macOS Mojave
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30704: nimetön tutkija
Kernel
Saatavuus: macOS Mojave
Vaikutus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
Kuvaus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.
CVE-2021-30739: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)
Login Window
Saatavuus: macOS Mojave
Vaikutus: Henkilö, jolla oli fyysinen pääsy Maciin, saattoi pystyä ohittamaan kirjautumisikkunan.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)
Saatavuus: macOS Mojave
Vaikutus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
Kuvaus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä esittämään apin tilan väärin.
CVE-2021-30696: Fabian Ising ja Damian Poddebniak (Münster University of Applied Sciences)
Model I/O
Saatavuus: macOS Mojave
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30819
Model I/O
Saatavuus: macOS Mojave
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2021-30723: Mickey Jin (@patch1t, Trend Micro)
CVE-2021-30691: Mickey Jin (@patch1t, Trend Micro)
CVE-2021-30694: Mickey Jin (@patch1t, Trend Micro)
CVE-2021-30692: Mickey Jin (@patch1t, Trend Micro)
Model I/O
Saatavuus: macOS Mojave
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30746: Mickey Jin (@patch1t, Trend Micro)
Model I/O
Saatavuus: macOS Mojave
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2021-30693: Mickey Jin (@patch1t, Trend Micro) ja Junzhi Lu (@pwn0rz, Trend Micro)
Model I/O
Saatavuus: macOS Mojave
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30695: Mickey Jin (@patch1t, Trend Micro) ja Junzhi Lu (@pwn0rz, Trend Micro)
Model I/O
Saatavuus: macOS Mojave
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30708: Mickey Jin (@patch1t, Trend Micro) ja Junzhi Lu (@pwn0rz, Trend Micro)
Model I/O
Saatavuus: macOS Mojave
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30709: Mickey Jin (@patch1t, Trend Micro)
Model I/O
Saatavuus: macOS Mojave
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30725: Mickey Jin (@patch1t, Trend Micro)
NSOpenPanel
Saatavuus: macOS Mojave
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Saatavuus: macOS Mojave
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Saatavuus: macOS Mojave
Vaikutus: Hardlink-nimien polun vahvistuslogiikkaan liittyvä ongelma on ratkaistu käyttämällä parannettua polkujen puhdistamista.
Kuvaus: Haittaohjelma saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
CVE-2021-30738: Qingyang Chen (Topsec Alpha Team), Csaba Fitzl (@theevilbit, Offensive Security)
Security
Saatavuus: macOS Mojave
Vaikutus: ASN.1-koodipurkutoiminnossa ilmennyt muistin vioittumisongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
Kuvaus: Haitallisen varmenteen käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
CVE-2021-30737: xerub
smbx
Saatavuus: macOS Mojave
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palveluneston.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
Saatavuus: macOS Mojave
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
Saatavuus: macOS Mojave
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
smbx
Saatavuus: macOS Mojave
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
Saatavuus: macOS Mojave
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
Kiitokset
Bluetooth
Haluamme kiittää avusta tutkijaa say2 (ENKI).
CFString
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
CoreCapture
Haluamme kiittää Zuozhi Fania (@pattern_F_, Ant-financial TianQiong Security Lab) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.