Sigurnosni sadržaj sigurnosnog ažuriranja 2021-003 Mojave
U ovom se dokumentu opisuje sigurnosni sadržaj sigurnosnog ažuriranja 2021-003 Mojave.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
Sigurnosno ažuriranje 2021-003 Mojave
APFS
Dostupno za: macOS Mojave
Učinak: lokalni korisnik mogao bi čitati proizvoljne datoteke
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2021-1797: Thomas Tempelmann
Audio
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Dostupno za: macOS Mojave
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1857: anonimni istraživač
CoreAudio
Dostupno za: macOS Mojave
Učinak: neka bi zlonamjerne aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreGraphics
Dostupno za: macOS Mojave
Učinak: otvaranjem zlonamjerno stvorene datoteke aplikacija se može neočekivano zatvoriti ili se može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1847: Xuwei Liu (Sveučilište Purdue)
CoreText
Dostupno za: macOS Mojave
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
curl
Dostupno za: macOS Mojave
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2020-8285: xnynx
curl
Dostupno za: macOS Mojave
Učinak: napadači mogu poslati lažan OCSP odgovor koji izgleda valjano
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-8286: anonimni istraživač
DiskArbitration
Dostupno za: macOS Mojave
Učinak: zlonamjerna bi aplikacija mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: u aplikaciji DiskArbitration postojao je problem s dozvolama. Problem je riješen dodatnim provjerama vlasništva.
CVE-2021-1784: Csaba Fitzl (@theevilbit) (Offensive Security), anonimni istraživač i Mikko Kenttälä (@Turmio_) (SensorFu)
FontParser
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1881: Hou JingYi (@hjy79425575) (Qihoo 360), anonimni istraživač, Xingwei Lin (Ant Security Light-Year Lab) i Mickey Jin (Trend Micro)
FontParser
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-27942: anonimni istraživač
Foundation
Dostupno za: macOS Mojave
Učinak: zlonamjerna bi aplikacija mogla steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-1813: Cees Elzinga
ImageIO
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1843: Ye Zhang (Baidu Security)
Intel Graphics Driver
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1805: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2021-1806: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Mojave
Učinak: zlonamjerna bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1834: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: macOS Mojave
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1860: @0xalsr
Kernel
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1851: @0xalsr
Kernel
Dostupno za: macOS Mojave
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) (Laboratorij za sigurnost, Ant Group Tianqiong)
libxpc
Dostupno za: macOS Mojave
Učinak: zlonamjerna bi aplikacija mogla steći korijenske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2021-30652: James Hutchins
libxslt
Dostupno za: macOS Mojave
Učinak: obrada zlonamjernih datoteka može dovesti do oštećenja skupa
Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1875: otkrio OSS-Fuzz
NSRemoteView
Dostupno za: macOS Mojave
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem nakon oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1876: Matthew Denton (Google Chrome)
Preferences
Dostupno za: macOS Mojave
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2021-1739: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
smbx
Dostupno za: macOS Mojave
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1878: Aleksandar Nikolić (Cisco Talos (talosintelligence.com))
Tailspin
Dostupno za: macOS Mojave
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1868: Tim Michaud (Zoom Communications)
tcpdump
Dostupno za: macOS Mojave
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-8037: anonimni istraživač
Time Machine
Dostupno za: macOS Mojave
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2021-1839: Tim Michaud(@TimGMichaud) (Zoom Video Communications) i Gary Nield (ECSC Group plc)
Wi-Fi
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla izazvati neočekivan pad sustava odnosno zapisivati kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
wifivelocityd
Dostupno za: macOS Mojave
Učinak: neke bi aplikacije mogle izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
WindowServer
Dostupno za: macOS Mojave
Učinak: zlonamjerna aplikacija mogla bi neočekivano otkriti korisnikove vjerodajnice iz sigurnih tekstnih polja
Opis: problem s API-jem u TCC dozvolama za pristupačnost riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1873: anonimni istraživač
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.