Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.2, Sikkerhetsoppdatering 2021-001 Catalina og Sikkerhetsoppdatering 2021-001 Mojave
Utgitt 1. februar 2021
Analytics
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1761: Cees Elzinga
APFS
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: En lokal bruker kan være i stand til å lese vilkårlige filer
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-1797: Thomas Tempelmann
CFNetwork-buffer
Tilgjengelig for: macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2020-27945: Zhuo Liang fra Qihoo 360 Vulcan Team
CoreAnimation
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Et skadelig program kan kjøre vilkårlig kode som fører til avsløring av brukerinformasjon
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1760: @S0rryMybad i 360 Vulcan Team
CoreAudio
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1747: JunDong Xie fra Ant Security Light-Year Lab
CoreGraphics
Tilgjengelig for: macOS Mojave 10.14.6, macOS Catalina 10.15.7 og macOS Big Sur 11.0.1
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1776: Ivan Fratric i Google Project Zero
Oppføring oppdatert 16. mars 2021
CoreMedia
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1759: Hou JingYi (@hjy79425575) i Qihoo 360 CERT
CoreText
Tilgjengelig for: macOS Mojave 10.14.6, macOS Catalina 10.15.7 og macOS Big Sur 11.0.1
Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres
Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.
CVE-2021-1772: Mickey Jin (@patch1t) fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
Oppføring oppdatert 16. mars 2021
CoreText
Tilgjengelig for: macOS Mojave 10.14.6, macOS Catalina 10.15.7 og macOS Big Sur 11.0.1
Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1792: Mickey Jin og Junzhi Lu i Trend Micro i samarbeid med Trend Micros Zero Day Initiative
Oppføring oppdatert 16. mars 2021
Crash Reporter
Tilgjengelig for: macOS Catalina 10.15.7
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1761: Cees Elzinga
Crash Reporter
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.
CVE-2021-1787: James Hutchins
Crash Reporter
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: En lokal bruker kan være i stand til å opprette eller modifisere systemfiler
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1786: Csaba Fitzl (@theevilbit) i Offensive Security
Directory Utility
Tilgjengelig for: macOS Catalina 10.15.7
Virkning: Et skadelig program kan få tilgang til privat informasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) fra SecuRing
Endpoint Security
Tilgjengelig for: macOS Catalina 10.15.7
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1802: Zhongcheng Li (@CK01) fra WPS Security Response Center
FairPlay
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: En skadelig app kan være i stand til å avdekke kjerneminnet
Beskrivelse: Et problem med lesing utenfor området førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun og Mickey Jin fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
FontParser
Tilgjengelig for: macOS Catalina 10.15.7
Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1790: Peter Nguyen Vu Hoang fra STAR Labs
FontParser
Tilgjengelig for: macOS Mojave 10.14.6
Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2021-1775: Mickey Jin og Qi Sun fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
Oppføring oppdatert 16. mars 2021
FontParser
Tilgjengelig for: macOS Mojave 10.14.6
Virkning: En ekstern angriper kan lekke minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-29608: Xingwei Lin fra Ant Security Light-Year Lab
FontParser
Tilgjengelig for: macOS Big Sur 11.0.1 og macOS Catalina 10.15.7
Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1758: Peter Nguyen i STAR Labs
ImageIO
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et tilgangsproblem ble løst med forbedret minnehåndtering.
CVE-2021-1783: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1741: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin og Junzhi Lu fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative samt Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1773: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Det var et problem med lesing utenfor grensene i curl. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2021-1778: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Tilgjengelig for: macOS Catalina 10.15.7 og macOS Big Sur 11.0.1
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1736: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1785: Xingwei Lin fra Ant Security Light-Year Lab
Oppføring oppdatert 16. mars 2021
ImageIO
Tilgjengelig for: macOS Mojave 10.14.6, macOS Catalina 10.15.7 og macOS Big Sur 11.0.1
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1766: Danny Rosseau i Carve Systems
Oppføring oppdatert 16. mars 2021
ImageIO
Tilgjengelig for: macOS Catalina 10.15.7 og macOS Big Sur 11.0.1
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1818: Xingwei Lin fra Ant-Financial Light-Year Security Lab
Oppføring oppdatert 16. mars 2021
ImageIO
Tilgjengelig for: macOS Catalina 10.15.7 og macOS Big Sur 11.0.1
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1742: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin(@singi21a) fra THEORI, Mickey Jin og Qi Sun fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative samt Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin fra Ant Security Light-Year Lab
Oppføring oppdatert 16. mars 2021
ImageIO
Tilgjengelig for: macOS Big Sur 11.0.1 og macOS Catalina 10.15.7
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1737: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1738: Lei Sun
CVE-2021-1744: Xingwei Lin fra Ant Security Light-Year Lab
IOKit
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et logisk problem med innlasting i kext ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1779: Csaba Fitzl (@theevilbit) fra Offensive Security
IOSkywalkFamily
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) fra Alibaba Security, Proteas
Kernel
Tilgjengelig for: macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et logisk problem som førte til minnekorrupsjon. Dette ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab
Kernel
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-1764: @m00nbsd
Kernel
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Et skadelig program kan være i stand til å utvide rettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2021-1782: en anonym forsker
Kernel
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.
CVE-2021-1750: @0xalsr
Login Window
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: En angriper med nettverksrettigheter kan være i stand til å omgå autentiseringspolicyen
Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-29633: Jewel Lambert fra Original Spin, LLC.
Messages
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med personvern i håndteringen av kontaktkort. Dette ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1781: Csaba Fitzl (@theevilbit) i Offensive Security
Oppføring lagt til 16. mars 2021
Messages
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: En bruker som ble fjernet fra en iMessage-gruppe, kunne bli med i gruppen på nytt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)
Model I/O
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1762: Mickey Jin i Trend Micro i samarbeid med Trend Micros Zero Day Initiative
Oppføring oppdatert 16. mars 2021
Model I/O
Tilgjengelig for: macOS Catalina 10.15.7
Virkning: Behandling av en skadelig fil kan føre til skade i heapen
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) fra Topsec Alpha Lab
Model I/O
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1763: Mickey Jin fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
Model I/O
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Behandling av et skadelig bilde kan føre til skade i heapen
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1767: Mickey Jin og Junzhi Lu fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
Model I/O
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1745: Mickey Jin og Junzhi Lu fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
Model I/O
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1753: Mickey Jin fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
Model I/O
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1768: Mickey Jin og Junzhi Lu fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
NetFSFramework
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: Aktivering av en skadelig Samba-nettverksdeling kan føre til utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1751: Mikko Kenttälä (@Turmio_) fra SensorFu
OpenLDAP
Tilgjengelig for: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 og macOS Mojave 10.14.6
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-25709
Power Management
Tilgjengelig for: macOS Mojave 10.14.6 og macOS Catalina 10.15.7
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27938: Tim Michaud (@TimGMichaud) fra Leviathan
Screen Sharing
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Flere problemer i pcre
Beskrivelse: Flere problemer ble løst ved å oppdatere til versjon 8.44.
CVE-2019-20838
CVE-2020-14155
SQLite
Tilgjengelig for: macOS Catalina 10.15.7
Virkning: Flere problemer i SQLite
Beskrivelse: Flere problemer ble løst gjennom forbedrede kontroller.
CVE-2020-15358
Swift
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: En ondsinnet angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-1769: CodeColorist fra Ant-Financial Light-Year Labs
WebKit
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Skadelig nettinnhold kan være i strid med sandkasseretningslinjene for iFrame
Beskrivelse: Problemet ble løst gjennom forbedret håndheving av sandkasse for iFrame.
CVE-2021-1765: Eliya Stein fra Confiant
CVE-2021-1801: Eliya Stein fra Confiant
WebKit
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1789: @S0rryMybad i 360 Vulcan Team
WebKit
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-1871: en anonym forsker
CVE-2021-1870: en anonym forsker
WebRTC
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Et skadelig nettsted kan få tilgang til adgangsbegrensede porter på vilkårlige servere
Beskrivelse: Et problem med portviderekobling ble løst med ekstra portvalidering.
CVE-2021-1799: Gregory Vishnepolsky og Ben Seri i Armis Security, samt Samy Kamkar
XNU
Tilgjengelig for: macOS Big Sur 11.0.1
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30869: Apple
Oppføring lagt til 23. september 2021
Ytterligere anerkjennelser
Kernel
Vi vil gjerne takke Junzhi Lu (@pwn0rz), Mickey Jin og Jesse Change i Trend Micro for hjelpen.
libpthread
Vi vil gjerne takke CodeColorist fra Ant-Financial Light-Year Labs for hjelpen.
Login Window
Vi vil gjerne takke Jose Moises Romero-Villanueva fra CrySolve for hjelpen.
Mail Drafts
Vi vil gjerne takke til Jon Bottarini fra HackerOne for hjelpen.
Screen Sharing Server
Vi vil gjerne takke @gorelics for hjelpen.
WebRTC
Vi vil gjerne takke Philipp Hancke for hjelpen.