Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
Actualizarea de securitate 2021-004 Mojave
Data publicării: 24 mai 2021
AMD
Disponibilitate pentru: macOS Mojave
Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30676: shrek_wzw
AMD
Disponibilitate pentru: macOS Mojave
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30678: Yu Wang (Didi Research America)
apache
Disponibilitate pentru: macOS Mojave
Impact: probleme multiple în Apache
Descriere: probleme multiple din Apache au fost rezolvate actualizând Apache la versiunea 2.4.46.
CVE-2021-30690: un cercetător anonim
AppleScript
Disponibilitate pentru: macOS Mojave
Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30669: Yair Hoffman
Core Services
Disponibilitate pentru: macOS Mojave
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Disponibilitate pentru: macOS Mojave
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
Graphics Drivers
Disponibilitate pentru: macOS Mojave
Impact: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor
Descriere: este posibil ca o aplicație rău intenționată să execute cod arbitrar având privilegii de kernel.
CVE-2021-30735: Jack Dates (RET2 Systems, Inc.) (@ret2systems) în colaborare cu inițiativa Zero Day de la Trend Micro
Intrare adăugată pe 21 iulie 2021
Heimdal
Disponibilitate pentru: macOS Mojave
Impact: o aplicație rău intenționată poate provoca refuzarea serviciului sau dezvăluirea conținutului memoriei
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: macOS Mojave
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: macOS Mojave
Impact: procesarea unor mesaje de server create cu rea intenție poate provoca alterarea segmentului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: macOS Mojave
Impact: un utilizator local poate cauza scurgeri de informații sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: macOS Mojave
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar, provocând compromiterea informațiilor despre utilizator
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibilitate pentru: macOS Mojave
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Disponibilitate pentru: macOS Mojave
Impact: procesarea unui fișier ASTC creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30705: Ye Zhang (Baidu Security)
Intel Graphics Driver
Disponibilitate pentru: macOS Mojave
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Disponibilitate pentru: macOS Mojave
Impact: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor
Descriere: este posibil ca o aplicație rău intenționată să execute cod arbitrar având privilegii de kernel.
CVE-2021-30726: Yinyi Wu (@3ndy1) (Qihoo 360 Vulcan Team)
Intrare adăugată pe 21 iulie 2021
Kernel
Disponibilitate pentru: macOS Mojave
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30704: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Mojave
Impact: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării
Descriere: un atacator local poate fi capabil să-și mărească nivelul privilegiilor.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Intrare adăugată pe 21 iulie 2021
Login Window
Disponibilitate pentru: macOS Mojave
Impact: o persoană cu acces fizic la un computer Mac poate reuși să evite fereastra de login
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC).
Disponibilitate pentru: macOS Mojave
Impact: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării
Descriere: un atacator cu poziție privilegiată în rețea poate denatura starea aplicației.
CVE-2021-30696: Fabian Ising și Damian Poddebniak (Münster University of Applied Sciences)
Intrare adăugată pe 21 iulie 2021
Model I/O
Disponibilitate pentru: macOS Mojave
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30819
Adăugare intrare: 25 mai 2022
Model I/O
Disponibilitate pentru: macOS Mojave
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.
CVE-2021-30723: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30691: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30694: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30692: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Mojave
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30746: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Mojave
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2021-30693: Mickey Jin (@patch1t) și Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Mojave
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30695: Mickey Jin (@patch1t) și Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Mojave
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30708: Mickey Jin (@patch1t) și Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Mojave
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30709: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Mojave
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-30725: Mickey Jin (@patch1t) (Trend Micro)
NSOpenPanel
Disponibilitate pentru: macOS Mojave
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Disponibilitate pentru: macOS Mojave
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Disponibilitate pentru: macOS Mojave
Impact: o problemă cu logica de validare a căilor pentru hardlinkuri a fost rezolvată printr-o igienizare îmbunătățită a căii
Descriere: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar.
CVE-2021-30738: Qingyang Chen (Topsec Alpha Team), Csaba Fitzl (@theevilbit) (Offensive Security)
Intrare adăugată pe 21 iulie 2021
Security
Disponibilitate pentru: macOS Mojave
Impact: a fost rezolvată o problemă de deteriorare a memoriei din decodorul ASN.1 prin eliminarea codului vulnerabil
Descriere: procesarea unui certificat creat cu rea intenție poate provoca executarea unui cod arbitrar.
CVE-2021-30737: xerub
Intrare adăugată pe 21 iulie 2021
smbx
Disponibilitate pentru: macOS Mojave
Impact: un atacator dintr-o poziție privilegiată în rețea poate efectua o refuzare a serviciului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
Disponibilitate pentru: macOS Mojave
Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
Disponibilitate pentru: macOS Mojave
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
smbx
Disponibilitate pentru: macOS Mojave
Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
Disponibilitate pentru: macOS Mojave
Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
Alte mențiuni
Bluetooth
Dorim să îi mulțumim lui say2 (ENKI) pentru asistență.
Adăugare intrare: 25 mai 2022
CFString
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
CoreCapture
Dorim să-i mulțumim pentru asistență lui Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab).