Obsah zabezpečenia aktualizácie zabezpečenia 2021-003 Mojave
V tomto dokumente sa popisuje obsah zabezpečenia aktualizácie zabezpečenia 2021-003 Mojave.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2021-003 Mojave
APFS
Dostupné pre: macOS Mojave
Dopad: Lokálny používateľ môže byť schopný čítať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2021-1797: Thomas Tempelmann
Audio
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1808: JunDong Xie z tímu Ant Security Light-Year Lab
CFNetwork
Dostupné pre: macOS Mojave
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1857: anonymný výskumník
CoreAudio
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1809: JunDong Xie z tímu Ant Security Light-Year Lab
CoreGraphics
Dostupné pre: macOS Mojave
Dopad: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1847: Xuwei Liu z Purduovej univerzity
CoreText
Dostupné pre: macOS Mojave
Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1811: Xingwei Lin z tímu Ant Security Light-Year Lab
curl
Dostupné pre: macOS Catalina
Dopad: Server so škodlivým kódom môže byť schopný odhaliť aktívne služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-8284: Marian Rehak
curl
Dostupné pre: macOS Mojave
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-8285: xnynx
curl
Dostupné pre: macOS Mojave
Dopad: Útočník môže poskytnúť falošnú odpoveď OCSP, ktorá by sa mohla javiť ako legitímna
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-8286: anonymný výskumník
DiskArbitration
Dostupné pre: macOS Mojave
Dopad: Škodlivá apka môže byť schopná upravovať chránené časti súborového systému
Popis: V súčasti DiskArbitration dochádzalo k problému s povoleniami. Tento problém bol vyriešený pridaním ďalších kontrol vlastníctva.
CVE-2021-1784: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security, anonymný výskumník a Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu
FontParser
Dostupné pre: macOS Mojave
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1881: Hou JingYi (@hjy79425575) zo spoločnosti Qihoo 360, anonymný výskumník, Xingwei Lin zo spoločnosti Ant Security Light-Year Lab a Mickey Jin zo spoločnosti Trend Micro
FontParser
Dostupné pre: macOS Mojave
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-27942: anonymný výskumník
Foundation
Dostupné pre: macOS Mojave
Dopad: Škodlivá apka môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2021-1813: Cees Elzinga
ImageIO
Dostupné pre: macOS Mojave
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-1843: Ye Zhang z tímu Baidu Security
Intel Graphics Driver
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1805: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Intel Graphics Driver
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2021-1806: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Intel Graphics Driver
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1834: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Kernel
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1860: @0xalsr
Kernel
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1851: @0xalsr
Kernel
Dostupné pre: macOS Mojave
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab
libxpc
Dostupné pre: macOS Mojave
Dopad: Škodlivá apka môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2021-30652: James Hutchins
libxslt
Dostupné pre: macOS Mojave
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1875: Nájdené službou OSS-Fuzz
NSRemoteView
Dostupné pre: macOS Mojave
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-1876: Matthew Denton z tímu Google Chrome
Preferences
Dostupné pre: macOS Mojave
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2021-1739: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
smbx
Dostupné pre: macOS Mojave
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1878: Aleksandar Nikolic zo spoločnosti Cisco Talos (talosintelligence.com)
Tailspin
Dostupné pre: macOS Mojave
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1868: Tim Michaud zo spoločnosti Zoom Communications
tcpdump
Dostupné pre: macOS Mojave
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-8037: anonymný výskumník
Time Machine
Dostupné pre: macOS Mojave
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2021-1839: Tim Michaud (@TimGMichaud) zo spoločnosti Zoom Video Communications a Gary Nield zo spoločnosti ECSC Group plc
Wi-Fi
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab
wifivelocityd
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
WindowServer
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná spôsobiť neočakávaný únik prihlasovacích údajov používateľa zo zabezpečených textových polí
Popis: Dochádzalo k problému s rozhraním API v povoleniach prekladača TCC prístupnosti, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1873: anonymný výskumník
Ďalšie poďakovanie
CoreCrypto
Poďakovanie za pomoc si zaslúži Andy Russon zo spoločnosti Orange Group.
Intel Graphics Driver
Poďakovanie za pomoc si zaslúži Jack Dates zo spoločnosti RET2 Systems, Inc.
Kernel
Poďakovanie za pomoc si zaslúžia GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan a anonymný výskumník.
Poďakovanie za pomoc si zaslúži Petter Flink z tímu SecOps spoločnosti Bonnier News.
Safari
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Security
Poďakovanie za pomoc si zaslúžia Xingwei Lin z tímu Ant Security Light-Year Lab a john (@nyan_satan).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.