Informacije o sigurnosnom sadržaju sigurnosnog ažuriranja 2021-004 Mojave

U ovom se dokumentu opisuje sigurnosni sadržaj sigurnosnog ažuriranja 2021-004 Mojave.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Sigurnosno ažuriranje 2021-004 Mojave

Objavljeno 24. svibnja 2021.

AMD

Dostupno za: macOS Mojave

Učinak: lokalni korisnici mogli bi izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30676: shrek_wzw

AMD

Dostupno za: macOS Mojave

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30678: Yu Wang (Didi Research America)

apache

Dostupno za: macOS Mojave

Učinak: veći broj problema u softveru Apache

Opis: veći broj problema u softveru Apache riješen je ažuriranjem softvera Apache na verziju 2.4.46.

CVE-2021-30690: anonimni istraživač

AppleScript

Dostupno za: macOS Mojave

Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30669: Yair Hoffman

Core Services

Dostupno za: macOS Mojave

Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2021-30681: Zhongcheng Li (CK01)

CVMS

Dostupno za: macOS Mojave

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)

Graphics Drivers

Dostupno za: macOS Mojave

Učinak: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja

Opis: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod uz kernelske ovlasti.

CVE-2021-30735: Jack Dates iz tvrtke RET2 Systems, Inc. (@ret2systems) u suradnji s inicijativom Zero Day (Trend Micro)

Stavka dodana 21. srpnja 2021.

Heimdal

Dostupno za: macOS Mojave

Učinak: zlonamjerna aplikacija mogla bi uzrokovati uskraćivanje usluge ili otkriti sadržaj memorije

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

Dostupno za: macOS Mojave

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

Heimdal

Dostupno za: macOS Mojave

Učinak: obrada zlonamjernih poruka poslužitelja može dovesti do oštećenja skupa

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Dostupno za: macOS Mojave

Učinak: lokalni je korisnik mogao bi otkriti povjerljive korisničke podatke

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Dostupno za: macOS Mojave

Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod, što može uzrokovati ugrožavanje korisničkih podataka

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

Dostupno za: macOS Mojave

Učinak: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)

ImageIO

Dostupno za: macOS Mojave

Učinak: obradom zlonamjerne ASTC datoteke može doći do otkrivanja sadržaja memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30705: Ye Zhang (Baidu Security)

Intel Graphics Driver

Dostupno za: macOS Mojave

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle bi izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

Dostupno za: macOS Mojave

Učinak: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja

Opis: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod uz kernelske ovlasti.

CVE-2021-30726: Yinyi Wu(@3ndy1) (Qihoo 360 Vulcan Team)

Stavka dodana 21. srpnja 2021.

Kernel

Dostupno za: macOS Mojave

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30704: anonimni istraživač

Kernel

Dostupno za: macOS Mojave

Učinak: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti

Opis: lokalni napadač mogao bi povećati svoje ovlasti.

CVE-2021-30739: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)

Stavka dodana 21. srpnja 2021.

Login Window

Dostupno za: macOS Mojave

Učinak: osoba s fizičkim pristupom Mac računalu mogla bi zaobići prozor za prijavu

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)

Mail

Dostupno za: macOS Mojave

Učinak: logički problem riješen je poboljšanim upravljanjem stanjem

Opis: napadač s povlaštenim mrežnim ovlastima mogao bi pogrešno predstaviti stanje aplikacije.

CVE-2021-30696: Fabian Ising i Damian Poddebniak sa Sveučilišta primijenjenih znanosti u Münsteru

Stavka dodana 21. srpnja 2021.

Model I/O

Dostupno za: macOS Mojave

Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30819

Stavka dodana 25. svibnja 2022.

Model I/O

Dostupno za: macOS Mojave

Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije

Opis: problem s otkrivanjem podataka riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30723: Mickey Jin (@patch1t) (Trend Micro)

CVE-2021-30691: Mickey Jin (@patch1t) (Trend Micro)

CVE-2021-30694: Mickey Jin (@patch1t) (Trend Micro)

CVE-2021-30692: Mickey Jin (@patch1t) (Trend Micro)

Model I/O

Dostupno za: macOS Mojave

Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30746: Mickey Jin (@patch1t) (Trend Micro)

Model I/O

Dostupno za: macOS Mojave

Učinak: obradom zlonamjerne slike moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2021-30693: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)

Model I/O

Dostupno za: macOS Mojave

Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30695: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)

Model I/O

Dostupno za: macOS Mojave

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30708: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)

Model I/O

Dostupno za: macOS Mojave

Učinak: obradom zlonamjerne USD datoteke moglo bi doći do otkrivanja sadržaja memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30709: Mickey Jin (@patch1t) (Trend Micro)

Model I/O

Dostupno za: macOS Mojave

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30725: Mickey Jin (@patch1t) (Trend Micro)

NSOpenPanel

Dostupno za: macOS Mojave

Učinak: neka bi aplikacija mogla dobiti veće ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

Dostupno za: macOS Mojave

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-36226

CVE-2020-36229

CVE-2020-36225

CVE-2020-36224

CVE-2020-36223

CVE-2020-36227

CVE-2020-36228

CVE-2020-36221

CVE-2020-36222

CVE-2020-36230

PackageKit

Dostupno za: macOS Mojave

Učinak: problem s logikom provjere valjanosti putanja za fiksne veze riješen je poboljšanom sanacijom putanja

Učinak: zlonamjerna aplikacija mogla bi prebrisati proizvoljne datoteke.

CVE-2021-30738: Qingyang Chen (Topsec Alpha Team) i Csaba Fitzl (@theevilbit) (Offensive Security)

Stavka dodana 21. srpnja 2021.

Security

Dostupno za: macOS Mojave

Učinak: problem s oštećenjem memorije u dekoderu ASN.1 riješen je uklanjanjem koda sa slabim točkama

Opis: obradom zlonamjernog certifikata moglo bi doći do pokretanja proizvoljnog koda.

CVE-2021-30737: xerub

Stavka dodana 21. srpnja 2021.

smbx

Dostupno za: macOS Mojave

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi izazvati odbijanje usluge

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)

smbx

Dostupno za: macOS Mojave

Učinak: napadač s mrežnim ovlastima možda može izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)

smbx

Dostupno za: macOS Mojave

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)

smbx

Dostupno za: macOS Mojave

Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)

smbx

Dostupno za: macOS Mojave

Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke

Opis: problem s otkrivanjem podataka riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)

 

Dodatna zahvala

Bluetooth

Na pomoći zahvaljujemo korisniku say2 (ENKI).

Stavka dodana 25. svibnja 2022.

CFString

Na pomoći zahvaljujemo anonimnom istraživaču.

CoreCapture

Na pomoći zahvaljujemo Zuozhiju Fanu (@pattern_F_) (Ant-financial TianQiong Security Lab).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: