Mengenai konten keamanan Pembaruan Keamanan 2021-004 Mojave
Dokumen ini menjelaskan konten keamanan Pembaruan Keamanan 2021-004 Mojave.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
Pembaruan Keamanan 2021-004 Mojave
AMD
Tersedia untuk: macOS Mojave
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30676: shrek_wzw
AMD
Tersedia untuk: macOS Mojave
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30678: Yu Wang dari Didi Research America
apache
Tersedia untuk: macOS Mojave
Dampak: Beberapa masalah di Apache
Deskripsi: Beberapa masalah yang terjadi di Apache telah diatasi dengan memperbarui Apache ke versi 2.4.46.
CVE-2021-30690: Peneliti anonim
AppleScript
Tersedia untuk: macOS Mojave
Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30669: Yair Hoffman
Core Services
Tersedia untuk: macOS Mojave
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Tersedia untuk: macOS Mojave
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30724: Mickey Jin (@patch1t) dari Trend Micro
Graphics Drivers
Tersedia untuk: macOS Mojave
Dampak: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan
Deskripsi: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel.
CVE-2021-30735: Jack Dates dari RET2 Systems, Inc. (@ret2systems) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Heimdal
Tersedia untuk: macOS Mojave
Dampak: Aplikasi berbahaya dapat mengakibatkan penolakan layanan atau berpotensi mengungkap konten memori
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tersedia untuk: macOS Mojave
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tersedia untuk: macOS Mojave
Dampak: Memproses pesan server perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tersedia untuk: macOS Mojave
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tersedia untuk: macOS Mojave
Dampak: Aplikasi berbahaya dapat mengeksekusi kode arbitrer yang membahayakan informasi pengguna
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tersedia untuk: macOS Mojave
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30687: Hou JingYi (@hjy79425575) dari Qihoo 360
ImageIO
Tersedia untuk: macOS Mojave
Dampak: Memproses file ASTC perusak yang berbahaya dapat mengungkap konten memori
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30705: Ye Zhang dari Baidu Security
Intel Graphics Driver
Tersedia untuk: macOS Mojave
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30728: Liu Long dari Ant Security Light-Year Lab
Intel Graphics Driver
Tersedia untuk: macOS Mojave
Dampak: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan
Deskripsi: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel.
CVE-2021-30726: Yinyi Wu (@3ndy1) dari Qihoo 360 Vulcan Team
Kernel
Tersedia untuk: macOS Mojave
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30704: peneliti anonim
Kernel
Tersedia untuk: macOS Mojave
Dampak: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan
Deskripsi: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) dari Ant Group Tianqiong Security Lab
Login Window
Tersedia untuk: macOS Mojave
Dampak: Orang yang memiliki akses fisik ke Mac mungkin dapat melewati Jendela Masuk
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30702: Jewel Lambert dari Original Spin, LLC.
Tersedia untuk: macOS Mojave
Dampak: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan
Deskripsi: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat salah merepresentasikan status aplikasi.
CVE-2021-30696: Fabian Ising dan Damian Poddebniak dari Münster University of Applied Sciences
Model I/O
Tersedia untuk: macOS Mojave
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30819
Model I/O
Tersedia untuk: macOS Mojave
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30723: Mickey Jin (@patch1t) dari Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) dari Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) dari Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) dari Trend Micro
Model I/O
Tersedia untuk: macOS Mojave
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30746: Mickey Jin (@patch1t) dari Trend Micro
Model I/O
Tersedia untuk: macOS Mojave
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.
CVE-2021-30693: Mickey Jin (@patch1t) & Junzhi Lu (@pwn0rz) dari Trend Micro
Model I/O
Tersedia untuk: macOS Mojave
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30695: Mickey Jin (@patch1t) & Junzhi Lu (@pwn0rz) dari Trend Micro
Model I/O
Tersedia untuk: macOS Mojave
Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30708: Mickey Jin (@patch1t) & Junzhi Lu (@pwn0rz) dari Trend Micro
Model I/O
Tersedia untuk: macOS Mojave
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30709: Mickey Jin (@patch1t) dari Trend Micro
Model I/O
Tersedia untuk: macOS Mojave
Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30725: Mickey Jin (@patch1t) dari Trend Micro
NSOpenPanel
Tersedia untuk: macOS Mojave
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Tersedia untuk: macOS Mojave
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Tersedia untuk: macOS Mojave
Dampak: Masalah dengan logika validasi jalur untuk hardlink telah diatasi dengan sanitasi jalur yang ditingkatkan
Deskripsi: Aplikasi berbahaya dapat menimpa file arbitrer.
CVE-2021-30738: Qingyang Chen dari Topsec Alpha Team, Csaba Fitzl (@theevilbit) dari Offensive Security
Security
Tersedia untuk: macOS Mojave
Dampak: Masalah kerusakan memori di dekoder ASN.1 telah diatasi dengan menghapus kode yang rentan
Deskripsi: Memproses sertifikat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer.
CVE-2021-30737: xerub
smbx
Tersedia untuk: macOS Mojave
Dampak: Penyerang dalam posisi jaringan hak istimewa mungkin dapat melakukan penolakan layanan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30716: Aleksandar Nikolic dari Cisco Talos
smbx
Tersedia untuk: macOS Mojave
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30717: Aleksandar Nikolic dari Cisco Talos
smbx
Tersedia untuk: macOS Mojave
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30712: Aleksandar Nikolic dari Cisco Talos
smbx
Tersedia untuk: macOS Mojave
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2021-30721: Aleksandar Nikolic dari Cisco Talos
smbx
Tersedia untuk: macOS Mojave
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30722: Aleksandar Nikolic dari Cisco Talos
Penghargaan tambahan
Bluetooth
Kami ingin mengucapkan terima kasih kepada say2 dari ENKI atas bantuannya.
CFString
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
CoreCapture
Kami ingin mengucapkan terima kasih kepada Zuozhi Fan (@pattern_F_) dari Ant-financial TianQiong Security Lab atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.