Despre conținutul de securitate din Actualizarea de securitate 2021-003 Catalina
Acest document descrie conținutul de securitate din Actualizarea de securitate 2021-003 Catalina.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
Actualizarea de securitate 2021-003 Catalina
AMD
Disponibilitate pentru: macOS Catalina
Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30676: shrek_wzw
AMD
Disponibilitate pentru: macOS Catalina
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30678: Yu Wang (Didi Research America)
App Store
Disponibilitate pentru: macOS Catalina
Impact: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării
Descriere: o aplicație rău intenționată poate evada din sandbox.
CVE-2021-30688: Thijs Alkemade (Computest Research Division)
AppleScript
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30669: Yair Hoffman
Audio
Disponibilitate pentru: macOS Catalina
Impact: analizarea unui fișier audio creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30685: Mickey Jin (@patch1t) (Trend Micro)
CoreAudio
Disponibilitate pentru: macOS Catalina
Impact: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor
Descriere: procesarea unui fișier audio creat cu rea intenție poate cauza divulgarea memoriei restricționate.
CVE-2021-30686: Mickey Jin (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)
Core Services
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Disponibilitate pentru: macOS Catalina
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
Dock
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate accesa istoricul apelurilor unui utilizator
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-29629: un cercetător anonim
FontParser
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-29629: un cercetător anonim
Graphics Drivers
Disponibilitate pentru: macOS Catalina
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30684: Liu Long (Ant Security Light-Year Lab)
Graphics Drivers
Disponibilitate pentru: macOS Catalina
Impact: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor
Descriere: este posibil ca o aplicație rău intenționată să execute cod arbitrar având privilegii de kernel.
CVE-2021-30735: Jack Dates (RET2 Systems, Inc.) (@ret2systems) în colaborare cu inițiativa Zero Day de la Trend Micro
Heimdal
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate provoca refuzarea serviciului sau dezvăluirea conținutului memoriei
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: macOS Catalina
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: macOS Catalina
Impact: procesarea unor mesaje de server create cu rea intenție poate provoca alterarea segmentului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: macOS Catalina
Impact: un utilizator local poate cauza scurgeri de informații sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar, provocând compromiterea informațiilor despre utilizator
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibilitate pentru: macOS Catalina
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Disponibilitate pentru: macOS Catalina
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30701: Mickey Jin (@patch1t) (Trend Micro) și Ye Zhang (Baidu Security)
ImageIO
Disponibilitate pentru: macOS Catalina
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30743: CFF al Topsec Alpha Team, un cercetător anonim, și Jeonghoon Shin (@ singi21a), de la THEORI, care lucrează cu Trend Micro Zero Day Initiative
ImageIO
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier ASTC creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30705: Ye Zhang (Baidu Security)
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: a fost rezolvată o problemă de citire în afara limitelor prin eliminarea codului vulnerabil
Descriere: un utilizator local poate cauza închiderea neașteptată a sistemului sau poate citi memoria kernel.
CVE-2021-30719: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro)
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor
Descriere: este posibil ca o aplicație rău intenționată să execute cod arbitrar având privilegii de kernel.
CVE-2021-30726: Yinyi Wu (@3ndy1) (Qihoo 360 Vulcan Team)
Kernel
Disponibilitate pentru: macOS Catalina
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30704: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30715: National Cyber Security Centre (NCSC) (Marea Britanie)
Kernel
Disponibilitate pentru: macOS Catalina
Impact: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării
Descriere: un atacator local poate fi capabil să-și mărească nivelul privilegiilor.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Login Window
Disponibilitate pentru: macOS Catalina
Impact: o persoană cu acces fizic la un computer Mac poate reuși să evite fereastra de login
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC).
Disponibilitate pentru: macOS Catalina
Impact: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării
Descriere: un atacator cu poziție privilegiată în rețea poate denatura starea aplicației.
CVE-2021-30696: Fabian Ising și Damian Poddebniak (Münster University of Applied Sciences)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30819
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.
CVE-2021-30723: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30691: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30694: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30692: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30746: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2021-30693: Mickey Jin (@patch1t) și Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30695: Mickey Jin (@patch1t) și Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30708: Mickey Jin (@patch1t) și Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30709: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-30725: Mickey Jin (@patch1t) (Trend Micro)
NSOpenPanel
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Disponibilitate pentru: macOS Catalina
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
Security
Disponibilitate pentru: macOS Catalina
Impact: a fost rezolvată o problemă de deteriorare a memoriei din decodorul ASN.1 prin eliminarea codului vulnerabil
Descriere: procesarea unui certificat creat cu rea intenție poate provoca executarea unui cod arbitrar.
CVE-2021-30737: xerub
smbx
Disponibilitate pentru: macOS Catalina
Impact: un atacator dintr-o poziție privilegiată în rețea poate efectua o refuzare a serviciului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
Disponibilitate pentru: macOS Catalina
Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
Disponibilitate pentru: macOS Catalina
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
smbx
Disponibilitate pentru: macOS Catalina
Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
Disponibilitate pentru: macOS Catalina
Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
TCC
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate trimite evenimente Apple neautorizate către Finder
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2021-30671: Ryan Bell (@iRyanBell)
Alte mențiuni
App Store
Dorim să-i mulțumim pentru asistență lui Thijs Alkemade (Computest Research Division).
CFString
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
CoreCapture
Dorim să-i mulțumim pentru asistență lui Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab).
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.