Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
Sikkerhetsoppdatering 2021-005 Mojave
Utgitt 21. juli 2021
AMD Kernel
Tilgjengelig for: macOS Mojave
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2021-30805: ABC Research s.r.o
AppKit
Tilgjengelig for: macOS Mojave
Virkning: Å åpne en skadelig fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.
CVE-2021-30790: hjy79425575 i samarbeid med Trend Micro Zero Day Initiative
AppleMobileFileIntegrity
Tilgjengelig for: macOS Mojave
Effekt: En lokal angriper kan være i stand til å lese sensitiv informasjon
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30811: en anonym forsker som samarbeider med Compartir
Oppføring lagt til 19. januar 2022
Audio
Tilgjengelig for: macOS Mojave
Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30781: tr3e
Bluetooth
Tilgjengelig for: macOS Mojave
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30672: say2 fra ENKI
CoreServices
Tilgjengelig for: macOS Mojave
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30772: Zhongcheng Li (CK01)
Oppføring lagt til 19. januar 2022
CoreStorage
Tilgjengelig for: macOS Mojave
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med innsetting ble løst gjennom forbedret validering.
CVE-2021-30777: Tim Michaud (@TimGMichaud) fra Zoom Video Communications og Gary Nield fra ECSC Group plc
CoreText
Tilgjengelig for: macOS Mojave
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30733: Sunglin fra Knownsec 404
CVMS
Tilgjengelig for: macOS Mojave
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30780: Tim Michaud (@TimGMichaud) fra Zoom Video Communications
FontParser
Tilgjengelig for: macOS Mojave
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2021-30760: Sunglin fra Knownsec 404-teamet
FontParser
Tilgjengelig for: macOS Mojave
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.
CVE-2021-30759: hjy79425575 i samarbeid med Trend Micro Zero Day Initiative
FontParser
Tilgjengelig for: macOS Mojave
Virkning: Behandling av en skadelig TIFF-fil kan føre til tjenestenekt eller avsløring av minneinnhold
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30788: tr3e i samarbeid med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tilgjengelig for: macOS Mojave
Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30787: Anonym i samarbeid med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tilgjengelig for: macOS Mojave
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30765: Yinyi Wu (@3ndy1) fra Qihoo 360 Vulcan Team, Liu Long fra Ant Security Light-Year Lab
CVE-2021-30766: Liu Long fra Ant Security Light-Year Lab
Oppføring oppdatert 19. januar 2022
IOKit
Tilgjengelig for: macOS Mojave
Virkning: En lokal angriper kan være i stand til å kjøre kode på Apple T2-sikkerhetsbrikken
Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.
CVE-2021-30784: George Nosenko
Oppføring lagt til 19. januar 2022
Kernel
Tilgjengelig for: macOS Mojave
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.
CVE-2021-30703: En anonym forsker
Kernel
Tilgjengelig for: macOS Mojave
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30793: Zuozhi Fan (@pattern_F_) fra Ant Security TianQiong Lab
LaunchServices
Tilgjengelig for: macOS Mojave
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.
CVE-2021-30677: Ron Waisberg (@epsilan)
LaunchServices
Tilgjengelig for: macOS Mojave
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.
CVE-2021-30783: Ron Waisberg (@epsilan)
Model I/O
Tilgjengelig for: macOS Mojave
Virkning: Behandling av en skadelig fil kan avsløre brukerinformasjon
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30791: Anonym i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 19. januar 2022
Model I/O
Tilgjengelig for: macOS Mojave
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30792: Anonym i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 19. januar 2022
Model I/O
Tilgjengelig for: macOS Mojave
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30796: Mickey Jin (@patch1t) fra Trend Micro
Sandbox
Tilgjengelig for: macOS Mojave
Virkning: Et skadelig program kan få tilgang til begrensede filer
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30782: Csaba Fitzl (@theevilbit) fra Offensive Security
WebKit
Tilgjengelig for: macOS Mojave
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-30799: Sergei Glazunov fra Google Project Zero
Ytterligere anerkjennelser
configd
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
CoreServices
Vi vil gjerne takke Zhongcheng Li (CK01) for hjelpen.
CoreText
Vi vil gjerne takke Mickey Jin (@patch1t) fra Trend Micro for hjelpen.
crontabs
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
IOKit
Vi vil gjerne takke George Nosenko for hjelpen.
libxml2
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring oppdatert 21. juni 2022
Spotlight
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
sysdiagnose
Vi vil gjerne takke Carter Jones (linkedin.com/in/carterjones/) og Tim Michaud (@TimGMichaud) fra Zoom Video Communications for hjelpen.
Oppføring lagt til 25. mai 2022