Obsah zabezpečenia aktualizácie zabezpečenia 2021-004 Mojave
V tomto dokumente sa popisuje obsah zabezpečenia aktualizácie zabezpečenia 2021-004 Mojave.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2021-004 Mojave
AMD
Dostupné pre: macOS Mojave
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30676: shrek_wzw
AMD
Dostupné pre: macOS Mojave
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30678: Yu Wang (Didi Research America)
apache
Dostupné pre: macOS Mojave
Dosah: Viacero problémov v súčasti Apache
Popis: V súčasti Apache dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti Apache na verziu 2.4.46.
CVE-2021-30690: Anonymný výskumník
AppleScript
Dostupné pre: macOS Mojave
Dosah: Škodlivá aplikácia môže obísť kontroly modulu Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30669: Yair Hoffman
Core Services
Dostupné pre: macOS Mojave
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Dostupné pre: macOS Mojave
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
Graphics Drivers
Dostupné pre: macOS Mojave
Dosah: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu
Popis: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra.
CVE-2021-30735: Jack Dates (RET2 Systems, Inc., @ret2systems) v spolupráci s Trend Micro Zero Day Initiative
Heimdal
Dostupné pre: macOS Mojave
Dosah: Aplikácia so škodlivým kódom môže spôsobiť odmietnutie služby alebo potenciálne sprístupniť obsah pamäte
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: macOS Mojave
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: macOS Mojave
Dosah: Spracovanie serverových správ so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: macOS Mojave
Dosah: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: macOS Mojave
Dosah: Aplikácia so škodlivým kódom môže spustiť ľubovoľný kód a spôsobiť tak únik používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupné pre: macOS Mojave
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru ASTC so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30705: Ye Zhang (Baidu Security)
Intel Graphics Driver
Dostupné pre: macOS Mojave
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupné pre: macOS Mojave
Dosah: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu
Popis: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra.
CVE-2021-30726: Yinyi Wu (@3ndy1) (Qihoo 360 Vulcan Team)
Kernel
Dostupné pre: macOS Mojave
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30704: Anonymný výskumník
Kernel
Dostupné pre: macOS Mojave
Dosah: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania
Popis: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Login Window
Dostupné pre: macOS Mojave
Dosah: Osoba s fyzickým prístupom k Macu môže byť schopná obísť prihlasovacie okno
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC).
Dostupné pre: macOS Mojave
Dosah: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu
Popis: Útočník s oprávneniami v sieti môže byť schopný použiť falošný stav aplikácie.
CVE-2021-30696: Fabian Ising a Damian Poddebniak z Univerzity aplikovaných vied v Münsteri
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30819
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30723: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30691: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30694: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30692: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30746: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2021-30693: Mickey Jin (@patch1t) a Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30695: Mickey Jin (@patch1t) a Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30708: Mickey Jin (@patch1t) a Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30709: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30725: Mickey Jin (@patch1t) (Trend Micro)
NSOpenPanel
Dostupné pre: macOS Mojave
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Dostupné pre: macOS Mojave
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Dostupné pre: macOS Mojave
Dosah: Problém s logikou overovania cesty pre pevné odkazy bol vyriešený vylepšením čistenia ciest
Popis: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory.
CVE-2021-30738: Qingyang Chen (Topsec Alpha Team), Csaba Fitzl (@theevilbit) (Offensive Security)
Security
Dostupné pre: macOS Mojave
Dosah: Problém súvisiaci s poškodením pamäte v dekodéri ASN.1 bol vyriešený odstránením nedostatočne zabezpečeného kódu
Popis: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu.
CVE-2021-30737: xerub
smbx
Dostupné pre: macOS Mojave
Dosah: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupné pre: macOS Mojave
Dosah: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupné pre: macOS Mojave
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupné pre: macOS Mojave
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupné pre: macOS Mojave
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
Ďalšie poďakovanie
Bluetooth
Poďakovanie za pomoc si zaslúži say2 (ENKI).
CFString
Poďakovanie za pomoc si zaslúži anonymný výskumník.
CoreCapture
Poďakovanie za pomoc si zaslúži Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.