Over de beveiligingsinhoud van macOS Big Sur 11.2, Beveiligingsupdate 2021-001 Catalina en Beveiligingsupdate 2021-001 Mojave

In dit document wordt de beveiligingsinhoud beschreven van macOS Big Sur 11.2, Beveiligingsupdate 2021-001 Catalina en Beveiligingsupdate 2021-001 Mojave.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Big Sur 11.2, Beveiligingsupdate 2021-001 Catalina, Beveiligingsupdate 2021-001 Mojave

Analytics

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1761: Cees Elzinga

APFS

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een lokale gebruiker kan willekeurige bestanden lezen

Beschrijving: het probleem is verholpen door een verbeterde logica voor bevoegdheden.

CVE-2021-1797: Thomas Tempelmann

CFNetwork Cache

Beschikbaar voor: macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2020-27945: Zhuo Liang van het Qihoo 360 Vulcan Team

CoreAnimation

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadaardig programma kan willekeurige code uitvoeren waardoor gebruikersinformatie in gevaar kan worden gebracht

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-1760: @S0rryMybad van het 360 Vulcan Team

CoreAudio

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1747: JunDong Xie van het Ant Security Light-Year Lab

CoreGraphics

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1776: Ivan Fratric van Google Project Zero

CoreMedia

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1759: Hou JingYi (@hjy79425575) van Qihoo 360 CERT

CoreText

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.

CVE-2021-1772: Mickey Jin (@patch1t) van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

CoreText

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1792: Mickey Jin en Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Crash Reporter

Beschikbaar voor: macOS Catalina 10.15.7

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1761: Cees Elzinga

Crash Reporter

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.

CVE-2021-1787: James Hutchins

Crash Reporter

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een lokale gebruiker kan systeembestanden aanmaken of wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1786: Csaba Fitzl (@theevilbit) van Offensive Security

Directory Utility

Beschikbaar voor: macOS Catalina 10.15.7

Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot privégegevens

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) van SecuRing

Endpoint Security

Beschikbaar voor: macOS Catalina 10.15.7

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1802: Zhongcheng Li (@CK01) van WPS Security Response Center

FairPlay

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven

Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun en Mickey Jin van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

FontParser

Beschikbaar voor: macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd lettertype kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1790: Peter Nguyen en Vu Hoang van STAR Labs

FontParser

Beschikbaar voor: macOS Mojave 10.14.6

Impact: het verwerken van een kwaadwillig vervaardigd lettertype kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2021-1775: Mickey Jin en Qi Sun van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

FontParser

Beschikbaar voor: macOS Mojave 10.14.6

Impact: een externe aanvaller kan geheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-29608: Xingwei Lin van het Ant Security Light-Year Lab

FontParser

Beschikbaar voor: macOS Big Sur 11.0.1 en macOS Catalina 10.15.7

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1758: Peter Nguyen van STAR Labs

ImageIO

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een toegangsprobleem is verholpen door verbeterd geheugenbeheer.

CVE-2021-1783: Xingwei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1741: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin en Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro, Xingwei Lin of het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1773: Xingwei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: er was een probleem met lezen buiten het bereik in de curl. Dit probleem is verholpen door een verbeterde controle van de grenzen.

CVE-2021-1778: Xingwei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1736: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1785: Xingwei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1766: Danny Rosseau van Carve Systems

ImageIO

Beschikbaar voor: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1818: Xingwei Lin van het Ant-Financial Light-Year Security Lab

ImageIO

Beschikbaar voor: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1742: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin (@singi21a) van THEORI, Mickey Jin en Qi Sun van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro, Xingwei Lin van Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin van het Ant Security Light-Year Lab

ImageIO

Beschikbaar voor: macOS Big Sur 11.0.1 en macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1737: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1738: Lei Sun

CVE-2021-1744: Xingwei Lin van het Ant Security Light-Year Lab

IOKit

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een logische fout in kext-laden is verholpen door een verbeterde verwerking van de status.

CVE-2021-1779: Csaba Fitzl (@theevilbit) van Offensive Security

IOSkywalkFamily

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) van Alibaba Security, Proteas

Kernel

Beschikbaar voor: macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: er was een logicaprobleem dat geheugenbeschadiging tot gevolg had. Dit is verholpen door verbeterd statusbeheer.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

Kernel

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-1764: @m00nbsd

Kernel

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een kwaadaardig programma kan de bevoegdheden verhogen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.

CVE-2021-1782: een anonieme onderzoeker

Kernel

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.

CVE-2021-1750: @0xalsr

Login Window

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk het authenticatiebeleid omzeilen

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2020-29633: Jewel Lambert van Original Spin, LLC.

Messages

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: er was een privacyprobleem bij de verwerking van contactkaarten. Dit is verholpen door verbeterd statusbeheer.

CVE-2021-1781: Csaba Fitzl (@theevilbit) van Offensive Security

Messages

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een gebruiker die wordt verwijderd uit een iMessage-groep, kan mogelijk weer toegang krijgen tot de groep

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)

Model I/O

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1762: Mickey Jin van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Model I/O

Beschikbaar voor: macOS Catalina 10.15.7

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) van Topsec Alpha Lab

Model I/O

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2021-1763: Mickey Jin van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Model I/O

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1767: Mickey Jin en Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Model I/O

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1745: Mickey Jin en Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Model I/O

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1753: Mickey Jin van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Model I/O

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1768: Mickey Jin en Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

NetFSFramework

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: het activeren van een kwaadwillig vervaardigd Samba-netwerk kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1751: Mikko Kenttälä (@Turmio_) van SensorFu

OpenLDAP

Beschikbaar voor: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 en macOS Mojave 10.14.6

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-25709

Power Management

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2020-27938: Tim Michaud (@TimGMichaud) van Leviathan

Screen Sharing

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: meerdere problemen in pcre

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 8.44.

CVE-2019-20838

CVE-2020-14155

SQLite

Beschikbaar voor: macOS Catalina 10.15.7

Impact: meerdere problemen in SQLite

Beschrijving: meerdere problemen zijn verholpen door verbeterde controles.

CVE-2020-15358

Swift

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-1769: CodeColorist van Ant-Financial Light-Year Labs

WebKit

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-1788: Francisco Alonso (@revskills)

WebKit

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: kwaadwillig vervaardigde webinhoud kan het iframe sandbox-beleid schenden

Beschrijving: dit probleem is verholpen door verbeterde uitvoering van iframe sandbox.

CVE-2021-1765: Eliya Stein van Confiant

CVE-2021-1801: Eliya Stein van Confiant

WebKit

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2021-1789: @S0rryMybad van het 360 Vulcan Team

WebKit

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-1871: een anonieme onderzoeker

CVE-2021-1870: een anonieme onderzoeker

WebRTC

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadaardige website kan toegang hebben tot beperkte poorten op willekeurige servers

Beschrijving: een probleem met de poortomleiding is opgelost door middel van extra poortvalidatie.

CVE-2021-1799: Gregory Vishnepolsky en Ben Seri van Armis Security, en Samy Kamkar

XNU

Beschikbaar voor: macOS Big Sur 11.0.1

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2021-30869: Apple

Aanvullende erkenning

Kernel

Met dank aan Junzhi Lu (@pwn0rz), Mickey Jin en Jesse Change van Trend Micro voor de hulp.

libpthread

Met dank aan CodeColorist van Ant-Financial Light-Year Labs voor de hulp.

Login Window

Met dank aan Jose Moises Romero-Villanueva van CrySolve voor de hulp.

Mail Drafts

Met dank aan Jon Bottarini van HackerOne voor de hulp.

Screen Sharing Server

Met dank aan @gorelics voor de hulp.

WebRTC

Met dank aan Philipp Hancke voor de hulp.