Mengenai konten keamanan Pembaruan Keamanan 2021-004 Catalina
Dokumen ini menjelaskan konten keamanan Pembaruan Keamanan 2021-004 Catalina.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
Pembaruan Keamanan 2021-004 Catalina
AMD Kernel
Tersedia untuk: macOS Catalina
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30805: ABC Research s.r.o
AppKit
Tersedia untuk: macOS Catalina
Dampak: Membuka file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan menghapus kode yang rentan.
CVE-2021-30790: hjy79425575 yang bekerja sama dengan Zero Day Initiative dari Trend Micro
AppleMobileFileIntegrity
Tersedia untuk: macOS Catalina
Dampak: Penyerang lokal mungkin dapat membaca informasi sensitif
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30811: Peneliti anonim yang bekerja sama dengan Compartir
Audio
Tersedia untuk: macOS Catalina
Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30781: tr3e
Bluetooth
Tersedia untuk: macOS Catalina
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30672: say2 dari ENKI
CoreAudio
Tersedia untuk: macOS Catalina
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30775: JunDong Xie dari Ant Security Light-Year Lab
CoreAudio
Tersedia untuk: macOS Catalina
Dampak: Memutar file audio yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30776: JunDong Xie dari Ant Security Light-Year Lab
CoreServices
Tersedia untuk: macOS Catalina
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30772: Zhongcheng Li (CK01)
CoreStorage
Tersedia untuk: macOS Catalina
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah injeksi telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30777: Tim Michaud (@TimGMichaud) dari Zoom Video Communications dan Gary Nield dari ECSC Group plc
CoreText
Tersedia untuk: macOS Catalina
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30789: Sunglin dari tim Knownsec 404, Mickey Jin (@patch1t) dari Trend Micro
CoreText
Tersedia untuk: macOS Catalina
Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30733: Sunglin dari Knownsec 404
Crash Reporter
Tersedia untuk: macOS Catalina
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30774: Yizhuo Wang dari Group of Software Security In Progress (G.O.S.S.I.P) di Shanghai Jiao Tong University
CVMS
Tersedia untuk: macOS Catalina
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30780: Tim Michaud (@TimGMichaud) dari Zoom Video Communications
dyld
Tersedia untuk: macOS Catalina
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Tersedia untuk: macOS Catalina
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2021-30760: Sunglin dari tim Knownsec 404
FontParser
Tersedia untuk: macOS Catalina
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Tumpukan kelebihan telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30759: hjy79425575 yang bekerja sama dengan Zero Day Initiative dari Trend Micro
FontParser
Tersedia untuk: macOS Catalina
Dampak: Memproses file tiff perusak yang berbahaya dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30788: tr3e yang bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: macOS Catalina
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30785: Mickey Jin (@patch1t) dari Trend Micro, CFF dari Topsec Alpha Team
Intel Graphics Driver
Tersedia untuk: macOS Catalina
Dampak: Aplikasi dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30787: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Intel Graphics Driver
Tersedia untuk: macOS Catalina
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30765: Yinyi Wu (@3ndy1) dari Qihoo 360 Vulcan Team, Liu Long dari Ant Security Light-Year Lab
CVE-2021-30766: Liu Long dari Ant Security Light-Year Lab
IOKit
Tersedia untuk: macOS Catalina
Dampak: Penyerang lokal mungkin dapat menjalankan kode pada Chip Keamanan Apple T2
Deskripsi: Beberapa masalah telah diatasi dengan logika yang ditingkatkan.
CVE-2021-30784: George Nosenko
IOUSBHostFamily
Tersedia untuk: macOS Catalina
Dampak: Aplikasi tanpa hak istimewa mungkin dapat menangkap perangkat USB
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30731: UTM (@UTMapp)
Kernel
Tersedia untuk: macOS Catalina
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah pengosongan ganda telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2021-30703: peneliti anonim
Kernel
Tersedia untuk: macOS Catalina
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30793: Zuozhi Fan (@pattern_F_) dari Ant Security TianQiong Lab
LaunchServices
Tersedia untuk: macOS Catalina
Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox
Deskripsi: Masalah ini telah diatasi dengan sanitasi lingkungan yang ditingkatkan.
CVE-2021-30677: Ron Waisberg (@epsilan)
LaunchServices
Tersedia untuk: macOS Catalina
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah akses telah diatasi dengan pembatasan akses yang ditingkatkan.
CVE-2021-30783: Ron Waisberg (@epsilan)
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses file perusak berbahaya dapat mengungkapkan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30791: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30792: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Model I/O
Tersedia untuk: macOS Catalina
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30796: Mickey Jin (@patch1t) dari Trend Micro
Sandbox
Tersedia untuk: macOS Catalina
Dampak: Aplikasi berbahaya mungkin dapat mengakses file yang dibatasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30782: Csaba Fitzl (@theevilbit) dari Offensive Security
WebKit
Tersedia untuk: macOS Catalina
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30799: Sergei Glazunov dari Google Project Zero
Penghargaan tambahan
configd
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.
CoreServices
Kami ingin mengucapkan terima kasih kepada Zhongcheng Li (CK01) atas bantuannya.
CoreText
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) dari Trend Micro atas bantuannya.
Crash Reporter
Kami ingin mengucapkan terima kasih kepada Yizhuo Wang dari Group of Software Security In Progress (G.O.S.S.I.P) di Shanghai Jiao Tong University atas bantuannya.
crontabs
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.
IOKit
Kami ingin mengucapkan terima kasih kepada George Nosenko atas bantuannya.
libxml2
Kami ingin mengucapkan terima kasih atas bantuannya.
Power Management
Kami ingin mengucapkan terima kasih kepada Pan ZhenPeng (@Peterpan0927) dari Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), Lisandro Ubiedo (@_lubiedo) dari Stratosphere Lab
Spotlight
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.
sysdiagnose
Kami ingin mengucapkan terima kasih kepada Carter Jones (linkedin.com/in/carterjones/) dan Tim Michaud (@TimGMichaud) dari Zoom Video Communications atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.