Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
Sigurnosno ažuriranje 2021-003 Mojave
Objavljeno 26. travnja 2021.
APFS
Dostupno za: macOS Mojave
Učinak: lokalni korisnik mogao bi čitati proizvoljne datoteke
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2021-1797: Thomas Tempelmann
Audio
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Dostupno za: macOS Mojave
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1857: anonimni istraživač
CoreAudio
Dostupno za: macOS Mojave
Učinak: neka bi zlonamjerne aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreGraphics
Dostupno za: macOS Mojave
Učinak: otvaranjem zlonamjerno stvorene datoteke aplikacija se može neočekivano zatvoriti ili se može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1847: Xuwei Liu (Sveučilište Purdue)
CoreText
Dostupno za: macOS Mojave
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
curl
Dostupno za: macOS Mojave
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2020-8285: xnynx
curl
Dostupno za: macOS Mojave
Učinak: napadači mogu poslati lažan OCSP odgovor koji izgleda valjano
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-8286: anonimni istraživač
DiskArbitration
Dostupno za: macOS Mojave
Učinak: zlonamjerna bi aplikacija mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: u aplikaciji DiskArbitration postojao je problem s dozvolama. Problem je riješen dodatnim provjerama vlasništva.
CVE-2021-1784: Csaba Fitzl (@theevilbit) (Offensive Security), anonimni istraživač i Mikko Kenttälä (@Turmio_) (SensorFu)
FontParser
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1881: Hou JingYi (@hjy79425575) (Qihoo 360), anonimni istraživač, Xingwei Lin (Ant Security Light-Year Lab) i Mickey Jin (Trend Micro)
FontParser
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-27942: anonimni istraživač
Foundation
Dostupno za: macOS Mojave
Učinak: zlonamjerna bi aplikacija mogla steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-1813: Cees Elzinga
ImageIO
Dostupno za: macOS Mojave
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1843: Ye Zhang (Baidu Security)
Intel Graphics Driver
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1805: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2021-1806: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Mojave
Učinak: zlonamjerna bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1834: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: macOS Mojave
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1860: @0xalsr
Kernel
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1851: @0xalsr
Kernel
Dostupno za: macOS Mojave
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) (Laboratorij za sigurnost, Ant Group Tianqiong)
libxpc
Dostupno za: macOS Mojave
Učinak: zlonamjerna bi aplikacija mogla steći korijenske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2021-30652: James Hutchins
libxslt
Dostupno za: macOS Mojave
Učinak: obrada zlonamjernih datoteka može dovesti do oštećenja skupa
Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1875: otkrio OSS-Fuzz
NSRemoteView
Dostupno za: macOS Mojave
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem nakon oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1876: Matthew Denton (Google Chrome)
Preferences
Dostupno za: macOS Mojave
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2021-1739: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
smbx
Dostupno za: macOS Mojave
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1878: Aleksandar Nikolić (Cisco Talos (talosintelligence.com))
Tailspin
Dostupno za: macOS Mojave
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1868: Tim Michaud (Zoom Communications)
tcpdump
Dostupno za: macOS Mojave
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-8037: anonimni istraživač
Time Machine
Dostupno za: macOS Mojave
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2021-1839: Tim Michaud(@TimGMichaud) (Zoom Video Communications) i Gary Nield (ECSC Group plc)
Wi-Fi
Dostupno za: macOS Mojave
Učinak: neka bi aplikacija mogla izazvati neočekivan pad sustava odnosno zapisivati kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
wifivelocityd
Dostupno za: macOS Mojave
Učinak: neke bi aplikacije mogle izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
WindowServer
Dostupno za: macOS Mojave
Učinak: zlonamjerna aplikacija mogla bi neočekivano otkriti korisnikove vjerodajnice iz sigurnih tekstnih polja
Opis: problem s API-jem u TCC dozvolama za pristupačnost riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1873: anonimni istraživač