Informazioni sui contenuti di sicurezza dell'aggiornamento di sicurezza 2021-004 per macOS Mojave
In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento di sicurezza 2021-004 per macOS Mojave.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
Aggiornamento di sicurezza 2021-004 per macOS Mojave
AMD
Disponibile per: macOS Mojave
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30676: shrek_wzw
AMD
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30678: Yu Wang di Didi Research America
apache
Disponibile per: macOS Mojave
Impatto: diversi problemi presenti in Apache.
Descrizione: diversi problemi in Apache sono stati risolti con l'aggiornamento di Apache alla versione 2.4.46.
CVE-2021-30690: un ricercatore anonimo
AppleScript
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30669: Yair Hoffman
Core Services
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30724: Mickey Jin (@patch1t) di Trend Micro
Graphics Drivers
Disponibile per: macOS Mojave
Impatto: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
Descrizione: un'applicazione pericolosa può essere in grado di eseguire codice arbitrario con privilegi kernel.
CVE-2021-30735: Jack Dates di RET2 Systems, Inc. (@ret2systems) in collaborazione con Zero Day Initiative di Trend Micro
Heimdal
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può causare una negazione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Mojave
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Mojave
Impatto: l'elaborazione di messaggi del server dannosi può danneggiare la memoria heap
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Mojave
Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30687: Hou JingYi (@hjy79425575) di Qihoo 360
ImageIO
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file ASTC dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30705: Ye Zhang di Baidu Security
Intel Graphics Driver
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30728: Liu Long di Ant Security Light-Year Lab
Intel Graphics Driver
Disponibile per: macOS Mojave
Impatto: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
Descrizione: un'applicazione pericolosa può essere in grado di eseguire codice arbitrario con privilegi kernel.
CVE-2021-30726: Yinyi Wu (@3ndy1) del Vulcan Team di Qihoo 360
Kernel
Disponibile per: macOS Mojave
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30704: un ricercatore anonimo
Kernel
Disponibile per: macOS Mojave
Impatto: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
Descrizione: un utente malintenzionato locale può essere in grado di rendere più elevati i propri privilegi.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab
Login Window
Disponibile per: macOS Mojave
Impatto: una persona con accesso fisico a un Mac può essere in grado di bypassare la finestra di login.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30702: Jewel Lambert di Original Spin, LLC.
Disponibile per: macOS Mojave
Impatto: un problema logico è stato risolto attraverso una migliore gestione dello stato
Descrizione: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di rappresentare lo stato dell'applicazione in modo fuorviante.
CVE-2021-30696: Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30819
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30723: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30746: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-30693: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30695: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30708: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30709: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30725: Mickey Jin (@patch1t) di Trend Micro
NSOpenPanel
Disponibile per: macOS Mojave
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Disponibile per: macOS Mojave
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Disponibile per: macOS Mojave
Impatto: un problema con la logica di convalida dei percorsi per i collegamenti fisici è stato risolto attraverso una migliore sanitizzazione dei percorsi.
Descrizione: un'applicazione dannosa può riuscire a sovrascrivere i file arbitrari.
CVE-2021-30738: Qingyang Chen dell'Alpha Team di Topsec, Csaba Fitzl (@theevilbit) di Offensive Security
Security
Disponibile per: macOS Mojave
Impatto: un problema di danneggiamento della memoria nel decodificatore ASN.1 è stato risolto rimuovendo il codice vulnerabile.
Descrizione: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.
CVE-2021-30737: xerub
smbx
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare una negazione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30716: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30717: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30712: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Mojave
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2021-30721: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Mojave
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30722: Aleksandar Nikolic di Cisco Talos
Altri riconoscimenti
Bluetooth
Ringraziamo say2 di ENKI per l'assistenza.
CFString
Ringraziamo un ricercatore anonimo per l'assistenza.
CoreCapture
Ringraziamo Zuozhi Fan (@pattern_F_) di Ant-financial TianQiong Security Lab per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.