Mengenai konten keamanan Pembaruan Keamanan 2021-003 Catalina
Dokumen ini menjelaskan konten keamanan Pembaruan Keamanan 2021-003 Catalina.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
Pembaruan Keamanan 2021-003 Catalina
AMD
Tersedia untuk: macOS Catalina
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30676: shrek_wzw
AMD
Tersedia untuk: macOS Catalina
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30678: Yu Wang dari Didi Research America
App Store
Tersedia untuk: macOS Catalina
Dampak: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan
Deskripsi: Aplikasi berbahaya mungkin dapat keluar dari sandbox.
CVE-2021-30688: Thijs Alkemade dari Divisi Riset Computest
AppleScript
Tersedia untuk: macOS Catalina
Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30669: Yair Hoffman
Audio
Tersedia untuk: macOS Catalina
Dampak: Menguraikan file audio perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30685: Mickey Jin (@patch1t) dari Trend Micro
CoreAudio
Tersedia untuk: macOS Catalina
Dampak: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan
Deskripsi: Pemrosesan file audio perusak yang berbahaya dapat mengungkap memori terbatas.
CVE-2021-30686: Mickey Jin dari Trend Micro yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Core Services
Tersedia untuk: macOS Catalina
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Tersedia untuk: macOS Catalina
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30724: Mickey Jin (@patch1t) dari Trend Micro
Dock
Tersedia untuk: macOS Catalina
Dampak: Aplikasi berbahaya mungkin dapat mengakses riwayat panggilan pengguna
Deskripsi: Masalah akses telah diatasi dengan pembatasan akses yang ditingkatkan.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
Tersedia untuk: macOS Catalina
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-29629: peneliti anonim
FontParser
Tersedia untuk: macOS Catalina
Dampak: Aplikasi berbahaya mungkin dapat membaca memori yang dibatasi
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-29629: peneliti anonim
Graphics Drivers
Tersedia untuk: macOS Catalina
Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30684: Liu Long dari Ant Security Light-Year Lab
Graphics Drivers
Tersedia untuk: macOS Catalina
Dampak: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan
Deskripsi: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel.
CVE-2021-30735: Jack Dates dari RET2 Systems, Inc. (@ret2systems) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Heimdal
Tersedia untuk: macOS Catalina
Dampak: Aplikasi berbahaya dapat mengakibatkan penolakan layanan atau berpotensi mengungkap konten memori
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tersedia untuk: macOS Catalina
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tersedia untuk: macOS Catalina
Dampak: Memproses pesan server perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tersedia untuk: macOS Catalina
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tersedia untuk: macOS Catalina
Dampak: Aplikasi berbahaya dapat mengeksekusi kode arbitrer yang membahayakan informasi pengguna
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tersedia untuk: macOS Catalina
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30687: Hou JingYi (@hjy79425575) dari Qihoo 360
ImageIO
Tersedia untuk: macOS Catalina
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30701: Mickey Jin (@patch1t) dari Trend Micro dan Ye Zhang dari Baidu Security
ImageIO
Tersedia untuk: macOS Catalina
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30743: CFF dari Topsec Alpha Team, peneliti anonim, dan Jeonghoon Shin (@singi21a) dari THEORI yang bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: macOS Catalina
Dampak: Memproses file ASTC perusak yang berbahaya dapat mengungkap konten memori
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30705: Ye Zhang dari Baidu Security
Intel Graphics Driver
Tersedia untuk: macOS Catalina
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30728: Liu Long dari Ant Security Light-Year Lab
Intel Graphics Driver
Tersedia untuk: macOS Catalina
Dampak: Masalah pembacaan di luar batas telah diatasi dengan menghapus kode yang rentan
Deskripsi: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel.
CVE-2021-30719: peneliti anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Intel Graphics Driver
Tersedia untuk: macOS Catalina
Dampak: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan
Deskripsi: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel.
CVE-2021-30726: Yinyi Wu (@3ndy1) dari Qihoo 360 Vulcan Team
Kernel
Tersedia untuk: macOS Catalina
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30704: peneliti anonim
Kernel
Tersedia untuk: macOS Catalina
Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30715: National Cyber Security Centre (NCSC) Inggris
Kernel
Tersedia untuk: macOS Catalina
Dampak: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan
Deskripsi: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) dari Ant Group Tianqiong Security Lab
Login Window
Tersedia untuk: macOS Catalina
Dampak: Orang yang memiliki akses fisik ke Mac mungkin dapat melewati Jendela Masuk
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30702: Jewel Lambert dari Original Spin, LLC.
Tersedia untuk: macOS Catalina
Dampak: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan
Deskripsi: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat salah merepresentasikan status aplikasi.
CVE-2021-30696: Fabian Ising dan Damian Poddebniak dari Münster University of Applied Sciences
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30819
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30723: Mickey Jin (@patch1t) dari Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) dari Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) dari Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) dari Trend Micro
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30746: Mickey Jin (@patch1t) dari Trend Micro
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.
CVE-2021-30693: Mickey Jin (@patch1t) & Junzhi Lu (@pwn0rz) dari Trend Micro
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30695: Mickey Jin (@patch1t) & Junzhi Lu (@pwn0rz) dari Trend Micro
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30708: Mickey Jin (@patch1t) & Junzhi Lu (@pwn0rz) dari Trend Micro
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30709: Mickey Jin (@patch1t) dari Trend Micro
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30725: Mickey Jin (@patch1t) dari Trend Micro
NSOpenPanel
Tersedia untuk: macOS Catalina
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Tersedia untuk: macOS Catalina
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
Security
Tersedia untuk: macOS Catalina
Dampak: Masalah kerusakan memori di dekoder ASN.1 telah diatasi dengan menghapus kode yang rentan
Deskripsi: Memproses sertifikat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer.
CVE-2021-30737: xerub
smbx
Tersedia untuk: macOS Catalina
Dampak: Penyerang dalam posisi jaringan hak istimewa mungkin dapat melakukan penolakan layanan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30716: Aleksandar Nikolic dari Cisco Talos
smbx
Tersedia untuk: macOS Catalina
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30717: Aleksandar Nikolic dari Cisco Talos
smbx
Tersedia untuk: macOS Catalina
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30712: Aleksandar Nikolic dari Cisco Talos
smbx
Tersedia untuk: macOS Catalina
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2021-30721: Aleksandar Nikolic dari Cisco Talos
smbx
Tersedia untuk: macOS Catalina
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30722: Aleksandar Nikolic dari Cisco Talos
TCC
Tersedia untuk: macOS Catalina
Dampak: Aplikasi yang berbahaya mungkin dapat mengirim acara Apple yang tidak sah ke Finder
Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.
CVE-2021-30671: Ryan Bell (@iRyanBell)
Penghargaan tambahan
App Store
Kami ingin mengucapkan terima kasih kepada Thijs Alkemade dari Divisi Riset Computest atas bantuannya.
CFString
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
CoreCapture
Kami ingin mengucapkan terima kasih kepada Zuozhi Fan (@pattern_F_) dari Ant-financial TianQiong Security Lab atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.