Informazioni sui contenuti di sicurezza dell'aggiornamento di sicurezza 2021-003 per macOS Catalina
In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento di sicurezza 2021-003 per macOS Catalina.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
Aggiornamento di sicurezza 2021-003 per macOS Catalina
AMD
Disponibile per: macOS Catalina
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30676: shrek_wzw
AMD
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30678: Yu Wang di Didi Research America
App Store
Disponibile per: macOS Catalina
Impatto: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
Descrizione: un'applicazione dannosa può essere in grado di uscire dalla sandbox.
CVE-2021-30688: Thijs Alkemade della Research Division di Computest
AppleScript
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30669: Yair Hoffman
Audio
Disponibile per: macOS Catalina
Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30685: Mickey Jin (@patch1t) di Trend Micro
CoreAudio
Disponibile per: macOS Catalina
Impatto: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
Descrizione: l'elaborazione di un file audio dannoso può divulgare la memoria con restrizioni.
CVE-2021-30686: Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Core Services
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30724: Mickey Jin (@patch1t) di Trend Micro
Dock
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di accedere alla cronologia delle chiamate di un utente.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-29629: un ricercatore anonimo
FontParser
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-29629: un ricercatore anonimo
Graphics Drivers
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30684: Liu Long di Ant Security Light-Year Lab
Graphics Drivers
Disponibile per: macOS Catalina
Impatto: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
Descrizione: un'applicazione pericolosa può essere in grado di eseguire codice arbitrario con privilegi kernel.
CVE-2021-30735: Jack Dates di RET2 Systems, Inc. (@ret2systems) in collaborazione con Zero Day Initiative di Trend Micro
Heimdal
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può causare una negazione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Catalina
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Catalina
Impatto: l'elaborazione di messaggi del server dannosi può danneggiare la memoria heap
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Catalina
Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30687: Hou JingYi (@hjy79425575) di Qihoo 360
ImageIO
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30701: Mickey Jin (@patch1t) di Trend Micro e Ye Zhang di Baidu Security
ImageIO
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30743: CFF di Topsec Alpha Team, un ricercatore anonimo e Jeonghoon Shin (@singi21a) di THEORI in collaborazione con Zero Day Initiative di Trend Micro
ImageIO
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file ASTC dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30705: Ye Zhang di Baidu Security
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30728: Liu Long di Ant Security Light-Year Lab
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un problema di lettura non nei limiti è stato risolto rimuovendo il codice vulnerabile.
Descrizione: un utente locale può essere in grado di causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
CVE-2021-30719: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
Descrizione: un'applicazione pericolosa può essere in grado di eseguire codice arbitrario con privilegi kernel.
CVE-2021-30726: Yinyi Wu (@3ndy1) del Vulcan Team di Qihoo 360
Kernel
Disponibile per: macOS Catalina
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30704: un ricercatore anonimo
Kernel
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un messaggio dannoso può causare una negazione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30715: National Cyber Security Centre (NCSC) del Regno Unito
Kernel
Disponibile per: macOS Catalina
Impatto: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
Descrizione: un utente malintenzionato locale può essere in grado di rendere più elevati i propri privilegi.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab
Login Window
Disponibile per: macOS Catalina
Impatto: una persona con accesso fisico a un Mac può essere in grado di bypassare la finestra di login.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30702: Jewel Lambert di Original Spin, LLC.
Disponibile per: macOS Catalina
Impatto: un problema logico è stato risolto attraverso una migliore gestione dello stato
Descrizione: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di rappresentare lo stato dell'applicazione in modo fuorviante.
CVE-2021-30696: Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30819
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30723: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30746: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-30693: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30695: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30708: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30709: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30725: Mickey Jin (@patch1t) di Trend Micro
NSOpenPanel
Disponibile per: macOS Catalina
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Disponibile per: macOS Catalina
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
Security
Disponibile per: macOS Catalina
Impatto: un problema di danneggiamento della memoria nel decodificatore ASN.1 è stato risolto rimuovendo il codice vulnerabile.
Descrizione: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.
CVE-2021-30737: xerub
smbx
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare una negazione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30716: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30717: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30712: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Catalina
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2021-30721: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Catalina
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30722: Aleksandar Nikolic di Cisco Talos
TCC
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di inviare eventi Apple non autorizzati al Finder.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-30671: Ryan Bell (@iRyanBell)
Altri riconoscimenti
App Store
Ringraziamo Thijs Alkemade di Computest Research Division per l'assistenza.
CFString
Ringraziamo un ricercatore anonimo per l'assistenza.
CoreCapture
Ringraziamo Zuozhi Fan (@pattern_F_) di Ant-financial TianQiong Security Lab per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.