A Mojave 2021-004-es biztonsági frissítésének biztonsági változásjegyzéke

Ez a dokumentum a Mojave 2021-004-es biztonsági frissítésének biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

A Mojave 2021-004-es biztonsági frissítése

Kiadási dátum: 2021. május 24.

AMD

A következőhöz érhető el: macOS Mojave

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30676: shrek_wzw

AMD

A következőhöz érhető el: macOS Mojave

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30678: Yu Wang (Didi Research America)

apache

A következőhöz érhető el: macOS Mojave

Érintett terület: Az apache több biztonsági rése.

Leírás: Több probléma is fennállt az Apache esetén. Az Apache 2.4.46-os verzióra való frissítésével hárítottuk el a problémákat.

CVE-2021-30690: anonim kutató

AppleScript

A következőhöz érhető el: macOS Mojave

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30669: Yair Hoffman

Core Services

A következőhöz érhető el: macOS Mojave

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2021-30681: Zhongcheng Li (CK01)

CVMS

A következőhöz érhető el: macOS Mojave

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30724: Mickey Jin (@patch1t), Trend Micro

Graphics Drivers

A következőhöz érhető el: macOS Mojave

Érintett terület: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát

Leírás: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

CVE-2021-30735: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében

Bejegyzés hozzáadva 2021. július 21.

Heimdal

A következőhöz érhető el: macOS Mojave

Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást idézhettek elő, illetve esetlegesen felfedhették a memória tartalmát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőhöz érhető el: macOS Mojave

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőhöz érhető el: macOS Mojave

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szerverüzenet feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőhöz érhető el: macOS Mojave

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőhöz érhető el: macOS Mojave

Érintett terület: A rosszindulatú alkalmazások tetszőleges kódot tudtak végrehajtani, aminek következtében jogosulatlanul hozzá tudtak férni a felhasználói információkhoz.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

A következőhöz érhető el: macOS Mojave

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30687: Hou JingYi (@hjy79425575), Qihoo 360

ImageIO

A következőhöz érhető el: macOS Mojave

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott ASTC-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30705: Ye Zhang (Baidu Security)

Intel Graphics Driver

A következőhöz érhető el: macOS Mojave

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

A következőhöz érhető el: macOS Mojave

Érintett terület: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát

Leírás: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

CVE-2021-30726: Yinyi Wu (@3ndy1), Qihoo 360 Vulcan Team

Bejegyzés hozzáadva 2021. július 21.

Kernel

A következőhöz érhető el: macOS Mojave

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30704: anonim kutató

Kernel

A következőhöz érhető el: macOS Mojave

Érintett terület: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát

Leírás: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

CVE-2021-30739: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)

Bejegyzés hozzáadva 2021. július 21.

Login Window

A következőhöz érhető el: macOS Mojave

Érintett terület: A Machez fizikailag hozzáférő személy megkerülhette a bejelentkezési ablakot.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)

Mail

A következőhöz érhető el: macOS Mojave

Érintett terület: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát

Leírás: A magas hálózati jogosultságot megszerző támadók bizonyos esetekben képesek voltak hamisan megjeleníteni az alkalmazások állapotát.

CVE-2021-30696: Fabian Ising és Damian Poddebniak, Münsteri Műszaki Főiskola

Bejegyzés hozzáadva 2021. július 21.

Model I/O

A következőhöz érhető el: macOS Mojave

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30819

Bejegyzés hozzáadva: 2022. május 25.

Model I/O

A következőhöz érhető el: macOS Mojave

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2021-30723: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőhöz érhető el: macOS Mojave

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30746: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőhöz érhető el: macOS Mojave

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-30693: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőhöz érhető el: macOS Mojave

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30695: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőhöz érhető el: macOS Mojave

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30708: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőhöz érhető el: macOS Mojave

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30709: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőhöz érhető el: macOS Mojave

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30725: Mickey Jin (@patch1t), Trend Micro

NSOpenPanel

A következőhöz érhető el: macOS Mojave

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

A következőhöz érhető el: macOS Mojave

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-36226

CVE-2020-36229

CVE-2020-36225

CVE-2020-36224

CVE-2020-36223

CVE-2020-36227

CVE-2020-36228

CVE-2020-36221

CVE-2020-36222

CVE-2020-36230

PackageKit

A következőhöz érhető el: macOS Mojave

Érintett terület: Az útvonal tisztításának javításával megoldottunk egy problémát, amely a rögzített hivatkozások útvonal-ellenőrzési logikájával kapcsolatban jelentkezett

Leírás: A rosszindulatú alkalmazások felül tudtak írni tetszőleges fájlokat.

CVE-2021-30738: Qingyang Chen, Topsec Alpha Team és Fitzl Csaba (@theevilbit), Offensive Security

Bejegyzés hozzáadva 2021. július 21.

Security

A következőhöz érhető el: macOS Mojave

Érintett terület: A sérülékeny kód eltávolításával megoldottunk egy memóriasérüléssel kapcsolatos problémát, amely az ASN.1 dekódert érintette

Leírás: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.

CVE-2021-30737: xerub

Bejegyzés hozzáadva 2021. július 21.

smbx

A következőhöz érhető el: macOS Mojave

Érintett terület: A magas hálózati jogosultságot megszerző támadók szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)

smbx

A következőhöz érhető el: macOS Mojave

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)

smbx

A következőhöz érhető el: macOS Mojave

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)

smbx

A következőhöz érhető el: macOS Mojave

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)

smbx

A következőhöz érhető el: macOS Mojave

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)

 

További köszönetnyilvánítás

Bluetooth

Köszönjük say2 (ENKI) segítségét.

Bejegyzés hozzáadva: 2022. május 25.

CFString

Köszönjük egy anonim kutató segítségét.

CoreCapture

Köszönjük Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: