Informacije o sigurnosnom sadržaju sigurnosnog ažuriranja 2021-004 Mojave
U ovom se dokumentu opisuje sigurnosni sadržaj sigurnosnog ažuriranja 2021-004 Mojave.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
Sigurnosno ažuriranje 2021-004 Mojave
AMD
Dostupno za: macOS Mojave
Učinak: lokalni korisnici mogli bi izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30676: shrek_wzw
AMD
Dostupno za: macOS Mojave
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30678: Yu Wang (Didi Research America)
apache
Dostupno za: macOS Mojave
Učinak: veći broj problema u softveru Apache
Opis: veći broj problema u softveru Apache riješen je ažuriranjem softvera Apache na verziju 2.4.46.
CVE-2021-30690: anonimni istraživač
AppleScript
Dostupno za: macOS Mojave
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30669: Yair Hoffman
Core Services
Dostupno za: macOS Mojave
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Dostupno za: macOS Mojave
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
Graphics Drivers
Dostupno za: macOS Mojave
Učinak: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja
Opis: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod uz kernelske ovlasti.
CVE-2021-30735: Jack Dates iz tvrtke RET2 Systems, Inc. (@ret2systems) u suradnji s inicijativom Zero Day (Trend Micro)
Heimdal
Dostupno za: macOS Mojave
Učinak: zlonamjerna aplikacija mogla bi uzrokovati uskraćivanje usluge ili otkriti sadržaj memorije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Mojave
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Mojave
Učinak: obrada zlonamjernih poruka poslužitelja može dovesti do oštećenja skupa
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Mojave
Učinak: lokalni je korisnik mogao bi otkriti povjerljive korisničke podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Mojave
Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod, što može uzrokovati ugrožavanje korisničkih podataka
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne ASTC datoteke može doći do otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30705: Ye Zhang (Baidu Security)
Intel Graphics Driver
Dostupno za: macOS Mojave
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle bi izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupno za: macOS Mojave
Učinak: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja
Opis: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod uz kernelske ovlasti.
CVE-2021-30726: Yinyi Wu(@3ndy1) (Qihoo 360 Vulcan Team)
Kernel
Dostupno za: macOS Mojave
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30704: anonimni istraživač
Kernel
Dostupno za: macOS Mojave
Učinak: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti
Opis: lokalni napadač mogao bi povećati svoje ovlasti.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Login Window
Dostupno za: macOS Mojave
Učinak: osoba s fizičkim pristupom Mac računalu mogla bi zaobići prozor za prijavu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)
Dostupno za: macOS Mojave
Učinak: logički problem riješen je poboljšanim upravljanjem stanjem
Opis: napadač s povlaštenim mrežnim ovlastima mogao bi pogrešno predstaviti stanje aplikacije.
CVE-2021-30696: Fabian Ising i Damian Poddebniak sa Sveučilišta primijenjenih znanosti u Münsteru
Model I/O
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30819
Model I/O
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije
Opis: problem s otkrivanjem podataka riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30723: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30691: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30694: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30692: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30746: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne slike moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30693: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30695: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Mojave
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30708: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30709: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Mojave
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30725: Mickey Jin (@patch1t) (Trend Micro)
NSOpenPanel
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Dostupno za: macOS Mojave
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Dostupno za: macOS Mojave
Učinak: problem s logikom provjere valjanosti putanja za fiksne veze riješen je poboljšanom sanacijom putanja
Učinak: zlonamjerna aplikacija mogla bi prebrisati proizvoljne datoteke.
CVE-2021-30738: Qingyang Chen (Topsec Alpha Team) i Csaba Fitzl (@theevilbit) (Offensive Security)
Security
Dostupno za: macOS Mojave
Učinak: problem s oštećenjem memorije u dekoderu ASN.1 riješen je uklanjanjem koda sa slabim točkama
Opis: obradom zlonamjernog certifikata moglo bi doći do pokretanja proizvoljnog koda.
CVE-2021-30737: xerub
smbx
Dostupno za: macOS Mojave
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi izazvati odbijanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Mojave
Učinak: napadač s mrežnim ovlastima možda može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Mojave
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Mojave
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Mojave
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: problem s otkrivanjem podataka riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
Dodatna zahvala
Bluetooth
Na pomoći zahvaljujemo korisniku say2 (ENKI).
CFString
Na pomoći zahvaljujemo anonimnom istraživaču.
CoreCapture
Na pomoći zahvaljujemo Zuozhiju Fanu (@pattern_F_) (Ant-financial TianQiong Security Lab).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.