Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2021-002 Catalina
Dátum vydania: 26. apríla 2021
APFS
Dostupné pre: macOS Catalina
Dosah: Miestny používateľ môže byť schopný čítať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2021-1797: Thomas Tempelmann
Archive Utility
Dostupné pre: macOS Catalina
Dosah: Škodlivá apka môže obísť kontroly modulu Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1810: Rasmus Sten (@pajp) zo spoločnosti F-Secure
Audio
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1808: JunDong Xie z tímu Ant Security Light-Year Lab
CFNetwork
Dostupné pre: macOS Catalina
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1857: anonymný výskumník
CoreAudio
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1809: JunDong Xie z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: macOS Catalina
Dosah: Dochádzalo k problému s čítaním dát mimo buffra, ktorý bol vyriešený vylepšením overovania vstupu
Popis: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte.
CVE-2021-1846: JunDong Xie z tímu Ant Security Light-Year Lab
Dátum pridania záznamu: 21. júla 2021
CoreGraphics
Dostupné pre: macOS Catalina
Dosah: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1847: Xuwei Liu z Purduovej univerzity
CoreText
Dostupné pre: macOS Catalina
Dosah: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1811: Xingwei Lin z tímu Ant Security Light-Year Lab
curl
Dostupné pre: macOS Catalina
Dosah: Server so škodlivým kódom môže byť schopný odhaliť aktívne služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-8284: Marian Rehak
Dátum pridania záznamu: 6. mája 2021
curl
Dostupné pre: macOS Catalina
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-8285: xnynx
curl
Dostupné pre: macOS Catalina
Dosah: Útočník môže poskytnúť falošnú odpoveď OCSP, ktorá by sa mohla zdať ako legitímna
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-8286: anonymný výskumník
DiskArbitration
Dostupné pre: macOS Catalina
Dosah: Škodlivá apka môže byť schopná upravovať chránené časti súborového systému
Popis: V súčasti DiskArbitration dochádzalo k problému s povoleniami. Tento problém bol vyriešený pridaním ďalších kontrol vlastníctva.
CVE-2021-1784: Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu, Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security, anonymný výskumník
FontParser
Dostupné pre: macOS Catalina
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1881: Hou JingYi (@hjy79425575) zo spoločnosti Qihoo 360, anonymný výskumník, Xingwei Lin zo spoločnosti Ant Security Light-Year Lab a Mickey Jin zo spoločnosti Trend Micro
FontParser
Dostupné pre: macOS Catalina
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-27942: anonymný výskumník
Foundation
Dostupné pre: macOS Catalina
Dosah: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2021-1813: Cees Elzinga
Foundation
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupné pre: macOS Catalina
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-1843: Ye Zhang z tímu Baidu Security
ImageIO
Dostupné pre: macOS Catalina
Dosah: Dochádzalo k problému so zápisom dát mimo buffra, ktorý bol vyriešený vylepšením kontroly rozsahu
Popis: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu.
CVE-2021-1858: Mickey Jin a Qi Sun zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 21. júla 2021
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1834: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dosah: Dochádzalo k problému so zápisom dát mimo buffra, ktorý bol vyriešený vylepšením kontroly rozsahu
Popis: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra.
CVE-2021-1841: Jack Dates zo spoločnosti RET2 Systems, Inc.
Dátum pridania záznamu: 21. júla 2021
Kernel
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1860: @0xalsr
Kernel
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1851: @0xalsr
Kernel
Dostupné pre: macOS Catalina
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab
Kernel
Dostupné pre: macOS Catalina
Dosah: Tento problém bol vyriešený vylepšením logiky povolení
Popis: Kopírované súbory nemusia mať očakávané povolenia súboru.
CVE-2021-1832: anonymný výskumník
Dátum pridania záznamu: 21. júla 2021
libxpc
Dostupné pre: macOS Catalina
Dosah: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2021-30652: James Hutchins
libxslt
Dostupné pre: macOS Catalina
Dosah: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1875: Nájdené službou OSS-Fuzz
Login Window
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom a oprávneniami koreňového používateľa môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2021-1824: Wojciech Reguła (@_r3ggi) z tímu SecuRing
NSRemoteView
Dostupné pre: macOS Catalina
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-1876: Matthew Denton z tímu Google Chrome
Preferences
Dostupné pre: macOS Catalina
Dosah: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2021-1739: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (https://xlab.tencent.com)
smbx
Dostupné pre: macOS Catalina
Dosah: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1878: Aleksandar Nikolic zo spoločnosti Cisco Talos (talosintelligence.com)
System Preferences
Dostupné pre: macOS Catalina
Dosah: Škodlivá aplikácia môže obísť kontroly modulu Gatekeeper. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30657: Cedric Owens (@cedowens)
Dátum pridania záznamu: 27. apríla 2021, dátum aktualizovania: 30. apríla 2021
Tailspin
Dostupné pre: macOS Catalina
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1868: Tim Michaud zo spoločnosti Zoom Communications
tcpdump
Dostupné pre: macOS Catalina
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-8037: anonymný výskumník
Time Machine
Dostupné pre: macOS Catalina
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2021-1839: Tim Michaud (@TimGMichaud) zo spoločnosti Zoom Video Communications a Gary Nield zo spoločnosti ECSC Group plc
Wi-Fi
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab
Wi-Fi
Dostupné pre: macOS Catalina
Dosah: Tento problém bol vyriešený vylepšením logiky povolení
Popis: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami.
CVE-2021-30655: Gary Nield zo spoločnosti ECSC Group plc, Tim Michaud (@TimGMichaud) zo spoločnosti Zoom Video Communications a Wojciech Reguła (@_r3ggi) z tímu SecuRing
Dátum pridania záznamu: 21. júla 2021
wifivelocityd
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
WindowServer
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná spôsobiť neočakávaný únik prihlasovacích údajov používateľa zo zabezpečených textových polí
Popis: Dochádzalo k problému s rozhraním API v povoleniach prekladača TCC prístupnosti, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1873: anonymný výskumník
Dátum aktualizovania záznamu: 27. apríla 2021
Ďalšie poďakovanie
CoreCrypto
Poďakovanie za pomoc si zaslúži Andy Russon zo spoločnosti Orange Group.
Dátum pridania záznamu: 6. mája 2021
Intel Graphics Driver
Poďakovanie za pomoc si zaslúži Jack Dates zo spoločnosti RET2 Systems, Inc.
Dátum pridania záznamu: 6. mája 2021
Kernel
Poďakovanie za pomoc si zaslúžia Antonio Frighetto z Polytechnickej univerzity v Miláne, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan a anonymný výskumník.
Dátum pridania záznamu: 6. mája 2021
Poďakovanie za pomoc si zaslúžia Petter Flink z tímu SecOps spoločnosti Bonnier News a anonymný výskumník.
Dátum pridania záznamu: 6. mája 2021
Safari
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 6. mája 2021
Security
Poďakovanie za pomoc si zaslúžia Xingwei Lin z tímu Ant Security Light-Year Lab a john (@nyan_satan).
Dátum pridania záznamu: 6. mája 2021