Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
Aggiornamento di sicurezza 2021-004 per macOS Mojave
Data di rilascio: 24 maggio 2021
AMD
Disponibile per: macOS Mojave
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30676: shrek_wzw
AMD
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30678: Yu Wang di Didi Research America
apache
Disponibile per: macOS Mojave
Impatto: diversi problemi presenti in Apache.
Descrizione: diversi problemi in Apache sono stati risolti con l'aggiornamento di Apache alla versione 2.4.46.
CVE-2021-30690: un ricercatore anonimo
AppleScript
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30669: Yair Hoffman
Core Services
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30724: Mickey Jin (@patch1t) di Trend Micro
Graphics Drivers
Disponibile per: macOS Mojave
Impatto: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
Descrizione: un'applicazione pericolosa può essere in grado di eseguire codice arbitrario con privilegi kernel.
CVE-2021-30735: Jack Dates di RET2 Systems, Inc. (@ret2systems) in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 21 luglio 2021
Heimdal
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può causare una negazione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Mojave
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Mojave
Impatto: l'elaborazione di messaggi del server dannosi può danneggiare la memoria heap
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Mojave
Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30687: Hou JingYi (@hjy79425575) di Qihoo 360
ImageIO
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file ASTC dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30705: Ye Zhang di Baidu Security
Intel Graphics Driver
Disponibile per: macOS Mojave
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30728: Liu Long di Ant Security Light-Year Lab
Intel Graphics Driver
Disponibile per: macOS Mojave
Impatto: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
Descrizione: un'applicazione pericolosa può essere in grado di eseguire codice arbitrario con privilegi kernel.
CVE-2021-30726: Yinyi Wu (@3ndy1) del Vulcan Team di Qihoo 360
Voce aggiunta il 21 luglio 2021
Kernel
Disponibile per: macOS Mojave
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30704: un ricercatore anonimo
Kernel
Disponibile per: macOS Mojave
Impatto: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
Descrizione: un utente malintenzionato locale può essere in grado di rendere più elevati i propri privilegi.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab
Voce aggiunta il 21 luglio 2021
Login Window
Disponibile per: macOS Mojave
Impatto: una persona con accesso fisico a un Mac può essere in grado di bypassare la finestra di login.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30702: Jewel Lambert di Original Spin, LLC.
Disponibile per: macOS Mojave
Impatto: un problema logico è stato risolto attraverso una migliore gestione dello stato
Descrizione: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di rappresentare lo stato dell'applicazione in modo fuorviante.
CVE-2021-30696: Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences
Voce aggiunta il 21 luglio 2021
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30819
Voce aggiunta il 25 maggio 2022
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30723: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30746: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-30693: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30695: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30708: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30709: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Mojave
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30725: Mickey Jin (@patch1t) di Trend Micro
NSOpenPanel
Disponibile per: macOS Mojave
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Disponibile per: macOS Mojave
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Disponibile per: macOS Mojave
Impatto: un problema con la logica di convalida dei percorsi per i collegamenti fisici è stato risolto attraverso una migliore sanitizzazione dei percorsi.
Descrizione: un'applicazione dannosa può riuscire a sovrascrivere i file arbitrari.
CVE-2021-30738: Qingyang Chen dell'Alpha Team di Topsec, Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 21 luglio 2021
Security
Disponibile per: macOS Mojave
Impatto: un problema di danneggiamento della memoria nel decodificatore ASN.1 è stato risolto rimuovendo il codice vulnerabile.
Descrizione: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.
CVE-2021-30737: xerub
Voce aggiunta il 21 luglio 2021
smbx
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare una negazione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30716: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30717: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Mojave
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30712: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Mojave
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2021-30721: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Mojave
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30722: Aleksandar Nikolic di Cisco Talos
Altri riconoscimenti
Bluetooth
Ringraziamo say2 di ENKI per l'assistenza.
Voce aggiunta il 25 maggio 2022
CFString
Ringraziamo un ricercatore anonimo per l'assistenza.
CoreCapture
Ringraziamo Zuozhi Fan (@pattern_F_) di Ant-financial TianQiong Security Lab per l'assistenza.