Despre conținutul de securitate din Actualizarea de securitate 2021-007 Catalina
Acest document descrie conținutul de securitate din Actualizarea de securitate 2021-007 Catalina.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
Actualizarea de securitate 2021-007 Catalina
AppKit
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30873: Thijs Alkemade din cadrul Computest Research Division
AppleScript
Disponibilitate pentru: macOS Catalina
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30876: Jeremy Brown, hjy79425575
CVE-2021-30879: Jeremy Brown, hjy79425575
CVE-2021-30877: Jeremy Brown
CVE-2021-30880: Jeremy Brown
Audio
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2021-30907: Zweig (Kunlun Lab)
Bluetooth
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost tratată o problemă de cursă prin îmbunătățirea tratării stării.
CVE-2021-30899: Weiteng Chen, Zheng Zhang și Zhiyun Qian de la UC Riverside și Yu Wang de la Didi Research America
ColorSync
Disponibilitate pentru: macOS Catalina
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei în procesarea profilurilor ICC a fost rezolvată prin îmbunătățirea validării intrărilor.
CVE-2021-30926: Jeremy Brown
ColorSync
Disponibilitate pentru: macOS Catalina
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea profilurilor ICC. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2021-30917: Alexandru-Vlad Niculae și Mateusz Jurczyk (Google Project Zero)
Continuity Camera
Disponibilitate pentru: macOS Catalina
Impact: un atacator local poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de un șir cu format necontrolat, printr-o validare îmbunătățită a intrării.
CVE-2021-30903: Gongyu Ma (Hangzhou Dianzi University)
CoreAudio
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30834: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier creat cu rea intenție poate divulga informații ale utilizatorului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)
CoreGraphics
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui PDF creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30919: Apple
FileProvider
Disponibilitate pentru: macOS Catalina
Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea tratării memoriei.
CVE-2021-30881: Simon Huang (@HuangShaomang) și pjf (IceSword Lab – Qihoo 360)
iCloud
Disponibilitate pentru: macOS Catalina
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30906: Cees Elzinga
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: au fost rezolvate mai multe probleme de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30922: Jack Dates (RET2 Systems, Inc.), Yinyi Wu (@3ndy1)
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-30824: Antonio Zekic (@antoniozekic) de la Diverto
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: au fost rezolvate mai multe probleme de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30901: Zuozhi Fan (@pattern_F_) (Ant Security TianQiong Lab), Jack Dates (RET2 Systems, Inc.), Liu Long (Ant Security Light-Year Lab), Yinyi Wu (@3ndy1) (Ant Security Light-Year Lab)
IOGraphics
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30821: Tim Michaud (@TimGMichaud) de la Zoom Video Communications
Kernel
Disponibilitate pentru: macOS Catalina
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30909: Zweig (Kunlun Lab)
Kernel
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30916: Zweig (Kunlun Lab)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier creat cu rea intenție poate divulga informații ale utilizatorului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30910: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30911: Rui Yang și Xingwei Lin (Ant Security Light-Year Lab)
SMB
Disponibilitate pentru: macOS Catalina
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30844: Peter Nguyen Vu Hoang (STAR Labs)
SoftwareUpdate
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație fără privilegii să poată edita variabile NVRAM
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-30913: Kirin (@Pwnrin) și chenyuwang (@mzzzz__) de la Tencent Security Xuanwu Lab
SoftwareUpdate
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate obține acces la elementele Portchei ale unui utilizator
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2021-30912: Kirin (@Pwnrin) și chenyuwang (@mzzzz__) de la Tencent Security Xuanwu Lab
UIKit
Disponibilitate pentru: macOS Catalina
Impact: o persoană cu acces fizic la un dispozitiv poate determina caracteristicile parolei unui utilizator într-un câmp de introducere de text securizat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30915: Kostas Angelopoulos
xar
Disponibilitate pentru: macOS Catalina
Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30833: Richard Warren de la NCC Group
zsh
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere
Descriere: o problemă legată de permisiuni moștenite a fost remediată prin restricții suplimentare.
CVE-2021-30892: Jonathan Bar Or de la Microsoft
Alte mențiuni
iCloud
Dorim să-i mulțumim lui Ryan Pickren (ryanpickren.com) pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.