Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.2, sigurnosnom ažuriranju 2021-001 Catalina i sigurnosnom ažuriranju 2021-001 Mojave
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.2, sigurnosnog ažuriranja 2021-001 Catalina i sigurnosnog ažuriranja 2021-001 Mojave.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.2, sigurnosno ažuriranje 2021-001 Catalina, sigurnosno ažuriranje 2021-001 Mojave
Analytics
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1761: Cees Elzinga
APFS
Dostupno za: macOS Big Sur 11.0.1
Učinak: lokalni korisnik mogao bi čitati proizvoljne datoteke
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2021-1797: Thomas Tempelmann
CFNetwork Cache
Dostupno za: macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27945: Zhuo Liang (Qihoo 360 Vulcan Team)
CoreAnimation
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod, što može uzrokovati ugrožavanje korisničkih podataka
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1760: @S0rryMybad (360 Vulcan Team)
CoreAudio
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1747: JunDong Xie (Ant Security Light-Year Lab)
CoreGraphics
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1776: Ivan Fratric (Google Project Zero)
CoreMedia
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1759: Hou JingYi (@hjy79425575) (Qihoo 360 CERT)
CoreText
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2021-1772: Mickey Jin (@patch1t) (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
CoreText
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1792: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Crash Reporter
Dostupno za: macOS Catalina 10.15.7
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1761: Cees Elzinga
Crash Reporter
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: više problema riješeno je poboljšanom logikom.
CVE-2021-1787: James Hutchins
Crash Reporter
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: lokalni korisnik mogao bi izraditi ili izmijeniti sistemske datoteke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1786: Csaba Fitzl (@theevilbit) (Offensive Security)
Directory Utility
Dostupno za: macOS Catalina 10.15.7
Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) (SecuRing)
Endpoint Security
Dostupno za: macOS Catalina 10.15.7
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1802: Zhongcheng Li (@CK01) (WPS Security Response Center)
FairPlay
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun i Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
FontParser
Dostupno za: macOS Catalina 10.15.7
Učinak: obradom zlonamjernog fonta moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1790: Peter Nguyen Vu Hoang (STAR Labs)
FontParser
Dostupno za: macOS Mojave 10.14.6
Učinak: obradom zlonamjernog fonta moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2021-1775: Mickey Jin i Qi Sun (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
FontParser
Dostupno za: macOS Mojave 10.14.6
Učinak: udaljeni napadač mogao bi otkriti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-29608: Xingwei Lin (Ant Security Light-Year Lab)
FontParser
Dostupno za: macOS Big Sur 11.0.1 i macOS Catalina 10.15.7
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1758: Peter Nguyen (STAR Labs)
ImageIO
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1783: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1741: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1743: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do odbijanja usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1773: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do odbijanja usluge
Opis: u funkciji curl postojao je problem s čitanjem izvan dopuštenog opsega. Taj je problem riješen poboljšanom provjerom ograničenja.
CVE-2021-1778: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS Catalina 10.15.7 i macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1736: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1785: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za sljedeće uređaje: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do odbijanja usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1766: Danny Rosseau (Carve Systems)
ImageIO
Dostupno za: macOS Catalina 10.15.7 i macOS Big Sur 11.0.1
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1818: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Dostupno za: macOS Catalina 10.15.7 i macOS Big Sur 11.0.1
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1742: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1746: Jeonghoon Shin (@singi21a) (THEORI), Mickey Jin i Qi Sun (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1754: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1774: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1777: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1793: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: macOS Big Sur 11.0.1 i macOS Catalina 10.15.7
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1737: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1738: Lei Sun
CVE-2021-1744: Xingwei Lin (Ant Security Light-Year Lab)
IOKit
Dostupno za: macOS Big Sur 11.0.1
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: logička greška u učitavanju kexta riješena je poboljšanim upravljanjem stanja.
CVE-2021-1779: Csaba Fitzl (@theevilbit) (Offensive Security)
IOSkywalkFamily
Dostupno za: macOS Big Sur 11.0.1
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) (Alibaba Security), Proteas
Kernel
Dostupno za: macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: postojao je logički problem koji je uzrokovao oštećenje memorije. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Kernel
Dostupno za: macOS Big Sur 11.0.1
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1764: @m00nbsd
Kernel
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju ovog problema.
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2021-1782: anonimni istraživač
Kernel
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: više problema riješeno je poboljšanom logikom.
CVE-2021-1750: @0xalsr
Login Window
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi zaobići pravila o provjeri autentičnost
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2020-29633: Jewel Lambert (Original Spin, LLC.)
Messages
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: u postupku obrade kartica kontakata otkriven je problem sa zaštitom privatnosti. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2021-1781: Csaba Fitzl (@theevilbit) (Offensive Security)
Messages
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: korisnik koji je uklonjen iz iMessage grupe mogao bi se ponovno pridružiti grupi
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)
Model I/O
Dostupno za: macOS Big Sur 11.0.1
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1762: Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Model I/O
Dostupno za: macOS Catalina 10.15.7
Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) (Topsec Alpha Lab)
Model I/O
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2021-1763: Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Model I/O
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: obrada zlonamjerno izrađene slike može dovesti do oštećenja hrpe
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1767: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Model I/O
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1745: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Model I/O
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1753: Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Model I/O
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1768: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
NetFSFramework
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: postavljanje zlonamjernog Samba mrežnog resursa moglo bi dovesti do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1751: Mikko Kenttälä (@Turmio_) (SensorFu)
OpenLDAP
Dostupno za sljedeće uređaje: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 i macOS Mojave 10.14.6
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-25709
Power Management
Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-27938: Tim Michaud (@TimGMichaud) (Leviathan)
Screen Sharing
Dostupno za: macOS Big Sur 11.0.1
Učinak: više problema u medijateci pcre
Opis: više problema riješeno je ažuriranjem na verziju 8.44.
CVE-2019-20838
CVE-2020-14155
SQLite
Dostupno za: macOS Catalina 10.15.7
Učinak: veći broj problema u bazi podataka SQLite
Opis: više problema riješeno je poboljšanim provjerama.
CVE-2020-15358
Swift
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-1769: CodeColorist (Ant-Financial Light-Year Labs)
WebKit
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerni web-sadržaj može kršiti pravila testiranja za iframe
Opis: problem je riješen poboljšanim ojačanjem testnog okruženja za iframe.
CVE-2021-1765: Eliya Stein (Confiant)
CVE-2021-1801: Eliya Stein (Confiant)
WebKit
Dostupno za: macOS Big Sur 11.0.1
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1789: @S0rryMybad (360 Vulcan Team)
WebKit
Dostupno za: macOS Big Sur 11.0.1
Učinak: udaljeni napadač može uzrokovati izvršavanje proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju ovog problema.
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1871: anonimni istraživač
CVE-2021-1870: anonimni istraživač
WebRTC
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerne web-stranice mogle bi pristupiti ograničenim ulazima na proizvoljnim poslužiteljima
Opis: problem s preusmjeravanjem ulaza riješen je dodatnom provjerom valjanosti ulaza.
CVE-2021-1799: Gregory Vishnepolsky i Ben Seri (Armis Security) i Samy Kamkar
XNU
Dostupno za: macOS Big Sur 11.0.1
Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30869: Apple
Dodatna zahvala
Kernel
Željeli bismo zahvaliti Junzhiju Luu (@pwn0rz), Mickeyju Jinu i Jesseju Changeu (Trend Micro) na pomoći.
libpthread
Željeli bismo zahvaliti korisniku CodeColorist (Ant-Financial Light-Year Labs) na pomoći.
Login Window
Željeli bismo zahvaliti Joseu Moisesu Romeo-Villanuevi (CrySolve) na pomoći.
Mail Drafts
Željeli bismo zahvaliti Jonu Bottariniju (HackerOne) na pomoći.
Screen Sharing Server
Željeli bismo zahvaliti korisniku @gorelics na pomoći.
WebRTC
Željeli bismo zahvaliti Philippu Hanckeu na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.