Informazioni sui contenuti di sicurezza dell'aggiornamento di sicurezza 2021-007 per macOS Catalina
In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento di sicurezza 2021-007 per macOS Catalina.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
Aggiornamento di sicurezza 2021-007 per macOS Catalina
AppKit
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30873: Thijs Alkemade di Computest Research Division
AppleScript
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un codice binario AppleScript dannoso può causare la chiusura improvvisa dell'applicazione o la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30876: Jeremy Brown, hjy79425575
CVE-2021-30879: Jeremy Brown, hjy79425575
CVE-2021-30877: Jeremy Brown
CVE-2021-30880: Jeremy Brown
Audio
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2021-30907: Zweig di Kunlun Lab
Bluetooth
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2021-30899: Weiteng Chen, Zheng Zhang e Zhiyun Qian di UC Riverside e Yu Wang di Didi Research America
ColorSync
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC è stato risolto con una migliore convalida dell'input.
CVE-2021-30926: Jeremy Brown
ColorSync
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30917: Alexandru-Vlad Niculae e Mateusz Jurczyk di Google Project Zero
Continuity Camera
Disponibile per: macOS Catalina
Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: una problema di stringa del formato non controllata è stato risolto con una migliore convalida degli input.
CVE-2021-30903: Gongyu Ma della Hangzhou Dianzi University
CoreAudio
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file audio dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30834: JunDong Xie di Ant Security Light-Year Lab
CoreAudio
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30905: Mickey Jin (@patch1t) di Trend Micro
CoreGraphics
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un PDF dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30919: Apple
FileProvider
Disponibile per: macOS Catalina
Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30881: Simon Huang (@HuangShaomang) e pjf di IceSword Lab di Qihoo 360
iCloud
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30906: Cees Elzinga
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: più problemi di scrittura non nei limiti sono stati risolti con un migliore controllo dei limiti.
CVE-2021-30922: Jack Dates di RET2 Systems, Inc., Yinyi Wu (@3ndy1)
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30824: Antonio Zekic (@antoniozekic) di Diverto
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: più problemi di scrittura non nei limiti sono stati risolti con un migliore controllo dei limiti.
CVE-2021-30901: Zuozhi Fan (@pattern_F_) di Ant Security TianQiong Lab, Jack Dates di RET2 Systems, Inc., Liu Long di Ant Security Light-Year Lab, Yinyi Wu (@3ndy1) di Ant Security Light-Year Lab
IOGraphics
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30821: Tim Michaud (@TimGMichaud) di Zoom Video Communications
Kernel
Disponibile per: macOS Catalina
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30909: Zweig di Kunlun Lab
Kernel
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30916: Zweig di Kunlun Lab
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30910: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30911: Rui Yang e Xingwei Lin di Ant Security Light-Year Lab
SMB
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30844: Peter Nguyen Vu Hoang di STAR Labs
SoftwareUpdate
Disponibile per: macOS Catalina
Impatto: un'applicazione senza privilegi potrebbe riuscire a modificare variabili NVRAM.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-30913: Kirin (@Pwnrin) e chenyuwang (@mzzzz__) di Tencent Security Xuanwu Lab
SoftwareUpdate
Disponibile per: macOS Catalina
Impatto: un'applicazione pericolosa può ottenere l'accesso agli elementi del portachiavi di un utente.
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2021-30912: Kirin (@Pwnrin) e chenyuwang (@mzzzz__) di Tencent Security Xuanwu Lab
UIKit
Disponibile per: macOS Catalina
Impatto: una persona con accesso fisico a un dispositivo può essere in grado di determinare le caratteristiche della password di un utente in un campo di inserimento testo protetto.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30915: Kostas Angelopoulos
xar
Disponibile per: macOS Catalina
Impatto: l'estrazione di un archivio dannoso può consentire a un utente malintenzionato di scrivere file arbitrari.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30833: Richard Warren di NCC Group
zsh
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.
Descrizione: un problema di autorizzazioni ereditate è stato risolto attraverso restrizioni aggiuntive.
CVE-2021-30892: Jonathan Bar Or di Microsoft
Altri riconoscimenti
iCloud
Ringraziamo Ryan Pickren (ryanpickren.com) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.