Obsah zabezpečenia v systéme macOS Big Sur 11.2, aktualizácii zabezpečenia 2021-001 Catalina a aktualizácii zabezpečenia 2021-001 Mojave

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Big Sur 11.2, aktualizácii zabezpečenia 2021-001 Catalina a aktualizácii zabezpečenia 2021-001 Mojave.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Big Sur 11.2, aktualizácia zabezpečenia 2021-001 Catalina, aktualizácia zabezpečenia 2021-001 Mojave

Dátum vydania: 1. februára 2021

Analytics

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1761: Cees Elzinga

APFS

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Lokálny používateľ môže byť schopný čítať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením logiky povolení.

CVE-2021-1797: Thomas Tempelmann

CFNetwork Cache

Dostupné pre: macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27945: Zhuo Liang z tímu Qihoo 360 Vulcan Team

CoreAnimation

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Škodlivá aplikácia môže spustiť ľubovoľný kód a spôsobiť tak únik používateľských informácií

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1760: @S0rryMybad z tímu 360 Vulcan

CoreAudio

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1747: JunDong Xie z tímu Ant Security Light-Year Lab

CoreGraphics

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1776: Ivan Fratric z tímu Google Project Zero

Dátum aktualizácie záznamu: 16. marca 2021

CoreMedia

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1759: Hou JingYi (@hjy79425575) z tímu Qihoo 360 CERT

CoreText

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Dosah: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1772: Mickey Jin (@patch1t) zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizácie záznamu: 16. marca 2021

CoreText

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1792: Mickey Jin a Junzhi Lu zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizácie záznamu: 16. marca 2021

Crash Reporter

Dostupné pre: macOS Catalina 10.15.7

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1761: Cees Elzinga

Crash Reporter

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Niekoľko problémov bolo vyriešených vylepšením logiky.

CVE-2021-1787: James Hutchins

Crash Reporter

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Miestny používateľ môže byť schopný vytvárať alebo upravovať systémové súbory

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1786: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security

Directory Utility

Dostupné pre: macOS Catalina 10.15.7

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súkromným údajom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) zo spoločnosti SecuRing

Endpoint Security

Dostupné pre: macOS Catalina 10.15.7

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1802: Zhongcheng Li (@CK01) z tímu WPS Security Response Center

FairPlay

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun a Mickey Jin zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

FontParser

Dostupné pre: macOS Catalina 10.15.7

Dosah: Spracovanie písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1790: Peter Nguyen Vu Hoang zo spoločnosti STAR Labs

FontParser

Dostupné pre: macOS Mojave 10.14.6

Dosah: Spracovanie písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2021-1775: Mickey Jin a Qi Sun zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizácie záznamu: 16. marca 2021

FontParser

Dostupné pre: macOS Mojave 10.14.6

Dosah: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-29608: Xingwei Lin z tímu Ant Security Light-Year Lab

FontParser

Dostupné pre: macOS Big Sur 11.0.1 a macOS Catalina 10.15.7

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1758: Peter Nguyen zo spoločnosti STAR Labs

ImageIO

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2021-1783: Xingwei Lin z tímu Ant Security Light-Year Lab

ImageIO

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1741: Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin a Junzhi Lu zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Xingwei Lin z tímu Ant Security Light-Year Lab


ImageIO

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1773: Xingwei Lin z tímu Ant Security Light-Year Lab

ImageIO

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Vo funkcii curl dochádzalo k problému s čítaním dát mimo buffera. Tento problém bol vyriešený vylepšením kontroly rozsahov.

CVE-2021-1778: Xingwei Lin z tímu Ant Security Light-Year Lab

ImageIO

Dostupné pre: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1736: Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2021-1785: Xingwei Lin z tímu Ant Security Light-Year Lab

Dátum aktualizácie záznamu: 16. marca 2021

ImageIO

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1766: Danny Rosseau zo spoločnosti Carve Systems

Dátum aktualizácie záznamu: 16. marca 2021

ImageIO

Dostupné pre: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1818: Xingwei Lin z tímu Ant-Financial Light-Year Security Lab

Dátum aktualizácie záznamu: 16. marca 2021

ImageIO

Dostupné pre: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1742: Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin (@singi21a) zo spoločnosti THEORI, Mickey Jin a Qi Sun zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin z tímu Ant Security Light-Year Lab

Dátum aktualizácie záznamu: 16. marca 2021

ImageIO

Dostupné pre: macOS Big Sur 11.0.1 a macOS Catalina 10.15.7

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1737: Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2021-1738: Lei Sun

CVE-2021-1744: Xingwei Lin z tímu Ant Security Light-Year Lab

IOKit

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Pri načítavaní nástrojov kext dochádzalo k problému s logickou chybou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1779: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security

IOSkywalkFamily

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) zo spoločnosti Alibaba Security, Proteas

Kernel

Dostupné pre: macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý spôsoboval poškodenie pamäte. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab

Kernel

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2021-1764: @m00nbsd

Kernel

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2021-1782: Anonymný výskumník

Kernel

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Niekoľko problémov bolo vyriešených vylepšením logiky.

CVE-2021-1750: @0xalsr

Login Window

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Útočník s oprávneniami v sieti môže byť schopný obísť zásady autentifikácie

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-29633: Jewel Lambert zo spoločnosti Original Spin, LLC.

Messages

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Škodlivá aplikácia môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Pri spracovávaní vizitiek aplikácie Kontakty dochádzalo k problému s ochranou osobných údajov. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2021-1781: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security

Dátum pridania záznamu: 16. marca 2021

Messages

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Používateľ odstránený zo skupiny iMessage sa môže k tejto skupine znova pripojiť

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)

Model I/O

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1762: Mickey Jin zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizácie záznamu: 16. marca 2021

Model I/O

Dostupné pre: macOS Catalina 10.15.7

Dosah: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) z tímu Topsec Alpha Lab

Model I/O

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1763: Mickey Jin zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Model I/O

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1767: Mickey Jin a Junzhi Lu zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Model I/O

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1745: Mickey Jin a Junzhi Lu zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Model I/O

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1753: Mickey Jin zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Model I/O

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1768: Mickey Jin a Junzhi Lu zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

NetFSFramework

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Pripojenie zdieľaného sieťového prvku Samba so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1751: Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu

OpenLDAP

Dostupné pre: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 a macOS Mojave 10.14.6

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-25709

Power Management

Dostupné pre: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-27938: Tim Michaud (@TimGMichaud) z tímu Leviathan

Screen Sharing

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Viacero problémov v súčasti pcre

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 8.44.

CVE-2019-20838

CVE-2020-14155

SQLite

Dostupné pre: macOS Catalina 10.15.7

Dosah: Viacero problémov v súčasti SQLite

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením kontrol.

CVE-2020-15358

Swift

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Útočník so zlými úmyslami s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2021-1769: CodeColorist z tímu Ant-Financial Light-Year Labs

WebKit

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2021-1788: Francisco Alonso (@revskills)

WebKit

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Webový obsah so škodlivým kódom môže porušovať zásady izolovania priestoru pre prvky iFrame

Popis: Tento problém bol vyriešený vylepšením vynútenia izolovania priestoru pre prvky iFrame.

CVE-2021-1765: Eliya Stein zo spoločnosti Confiant

CVE-2021-1801: Eliya Stein zo spoločnosti Confiant

WebKit

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2021-1789: @S0rryMybad z tímu 360 Vulcan

WebKit

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-1871: Anonymný výskumník

CVE-2021-1870: Anonymný výskumník

WebRTC

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Webová stránka so škodlivým kódom môže byť schopná získať prístup k obmedzeným portom na ľubovoľných serveroch

Popis: Dochádzalo k problému s presmerovaním portov, ktorý bol vyriešený dodatočným overovaním portov.

CVE-2021-1799: Gregory Vishnepolsky a Ben Seri zo spoločnosti Armis Security a Samy Kamkar

XNU

Dostupné pre: macOS Big Sur 11.0.1

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2021-30869: Apple

Dátum pridania záznamu: 23. septembra 2021

Ďalšie poďakovanie

Kernel

Poďakovanie za pomoc si zaslúžia Junzhi Lu (@pwn0rz), Mickey Jin a Jesse Change zo spoločnosti Trend Micro.

libpthread

Poďakovanie za pomoc si zaslúži CodeColorist z tímu Ant-Financial Light-Year Labs.

Login Window

Poďakovanie za pomoc si zaslúži Jose Moises Romero-Villanueva zo spoločnosti CrySolve.

Mail Drafts

Poďakovanie za pomoc si zaslúži Jon Bottarini z tímu HackerOne.

Screen Sharing Server

Poďakovanie za pomoc si zaslúži @gorelics.

WebRTC

Poďakovanie za pomoc si zaslúži Philipp Hancke.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: