Сведения о проблемах безопасности, устраняемых обновлением системы безопасности 2021-003 для macOS Mojave
В этом документе описываются проблемы безопасности, устраняемые обновлением системы безопасности 2021-003 для macOS Mojave.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.
Обновление системы безопасности 2021-003 для macOS Mojave
APFS
Целевые продукты: macOS Mojave.
Воздействие. Локальный пользователь может читать произвольные файлы.
Описание. Проблема устранена путем улучшения логики разрешений.
CVE-2021-1797: Thomas Tempelmann
Audio
Целевые продукты: macOS Mojave.
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2021-1808: JunDong Xie из Ant Security Light-Year Lab
CFNetwork
Целевые продукты: macOS Mojave.
Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2021-1857: анонимный исследователь
CoreAudio
Целевые продукты: macOS Mojave.
Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2021-1809: JunDong Xie из Ant Security Light-Year Lab
CoreGraphics
Целевые продукты: macOS Mojave.
Воздействие. Открытие вредоносного файла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2021-1847: Xuwei Liu из университета Пердью
CoreText
Целевые продукты: macOS Mojave.
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2021-1811: Xingwei Lin из Ant Security Light-Year Lab
curl
Целевые продукты: macOS Mojave.
Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.
Описание. Проблема переполнения буфера устранена путем улучшенной проверки ввода.
CVE-2020-8285: пользователь xnynx
curl
Целевые продукты: macOS Mojave.
Воздействие. Злоумышленник может подделать ответ OCSP, который будет казаться подлинным.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-8286: анонимный исследователь
DiskArbitration
Целевые продукты: macOS Mojave.
Воздействие. Вредоносное приложение может изменять защищенные участки файловой системы.
Описание. Существовала проблема с разрешениями в инфраструктуре DiskArbitration. Проблема устранена путем ввода дополнительных проверок владельца.
CVE-2021-1784: Csaba Fitzl (@theevilbit) из Offensive Security, анонимный исследователь, а также Mikko Kenttälä (@Turmio_) из SensorFu
FontParser
Целевые продукты: macOS Mojave.
Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2021-1881: Hou JingYi (@hjy79425575) из Qihoo 360, анонимный исследователь, а также Xingwei Lin из Ant Security Light-Year Lab и Mickey Jin из Trend Micro
FontParser
Целевые продукты: macOS Mojave.
Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2020-27942: анонимный исследователь
Foundation
Целевые продукты: macOS Mojave.
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2021-1813: Cees Elzinga
ImageIO
Целевые продукты: macOS Mojave.
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения проверок.
CVE-2021-1843: Ye Zhang из Baidu Security
Intel Graphics Driver
Целевые продукты: macOS Mojave.
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2021-1805: специалисты ABC Research s.r.o., сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
Intel Graphics Driver
Целевые продукты: macOS Mojave.
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2021-1806: специалисты ABC Research s.r.o., сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
Intel Graphics Driver
Целевые продукты: macOS Mojave.
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2021-1834: специалисты ABC Research s.r.o., сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
Kernel
Целевые продукты: macOS Mojave.
Воздействие. Вредоносное приложение может привести к раскрытию данных из памяти ядра.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2021-1860: пользователь @0xalsr
Kernel
Целевые продукты: macOS Mojave.
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2021-1851: пользователь @0xalsr
Kernel
Целевые продукты: macOS Mojave.
Воздействие. Локальный злоумышленник может повысить свои привилегии.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) из отдела Security Lab компании Ant Group Tianqiong
libxpc
Целевые продукты: macOS Mojave.
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2021-30652: James Hutchins
libxslt
Целевые продукты: macOS Mojave.
Воздействие. Обработка вредоносного файла может приводить к повреждению динамической памяти.
Описание. Проблема двойного освобождения устранена путем улучшенного управления памятью.
CVE-2021-1875: обнаружено с помощью инструмента OSS-Fuzz
NSRemoteView
Целевые продукты: macOS Mojave.
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2021-1876: Matthew Denton из Google Chrome
Preferences
Целевые продукты: macOS Mojave.
Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.
Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.
CVE-2021-1739: Zhipeng Huo (@R3dF09) и Yuebin Sun (@yuebinsun2020) из Tencent Security Xuanwu Lab (xlab.tencent.com)
smbx
Целевые продукты: macOS Mojave.
Воздействие. Злоумышленник с привилегированным положением в сети может вызвать утечку конфиденциальных данных пользователя.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2021-1878: Aleksandar Nikolic из Cisco Talos (talosintelligence.com)
Tailspin
Целевые продукты: macOS Mojave.
Воздействие. Локальный злоумышленник может повысить свои привилегии.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2021-1868: Tim Michaud из Zoom Communications
tcpdump
Целевые продукты: macOS Mojave.
Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-8037: анонимный исследователь
Time Machine
Целевые продукты: macOS Mojave.
Воздействие. Локальный злоумышленник может повысить свои привилегии.
Описание. Проблема устранена путем улучшения логики разрешений.
CVE-2021-1839: Tim Michaud(@TimGMichaud) из Zoom Video Communications и Gary Nield из ECSC Group plc
Wi-Fi
Целевые продукты: macOS Mojave.
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) из отдела Security Lab компании Ant Group Tianqiong
wifivelocityd
Целевые продукты: macOS Mojave.
Воздействие. Приложение может выполнять произвольный код с системными привилегиями.
Описание. Проблема устранена путем улучшения логики разрешений.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
WindowServer
Целевые продукты: macOS Mojave.
Воздействие. Вредоносное приложение может вызывать неожиданную утечку учетных данных пользователя из безопасных текстовых полей.
Описание. Проблема с интерфейсом API в разрешениях Accessibility TCC устранена путем улучшенного управления состояниями.
CVE-2021-1873: анонимный исследователь
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.