Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2021-004 Mojave
Dátum vydania: 24. mája 2021
AMD
Dostupné pre: macOS Mojave
Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30676: shrek_wzw
AMD
Dostupné pre: macOS Mojave
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30678: Yu Wang (Didi Research America)
apache
Dostupné pre: macOS Mojave
Dosah: Viacero problémov v súčasti Apache
Popis: V súčasti Apache dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti Apache na verziu 2.4.46.
CVE-2021-30690: Anonymný výskumník
AppleScript
Dostupné pre: macOS Mojave
Dosah: Škodlivá aplikácia môže obísť kontroly modulu Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30669: Yair Hoffman
Core Services
Dostupné pre: macOS Mojave
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Dostupné pre: macOS Mojave
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
Graphics Drivers
Dostupné pre: macOS Mojave
Dosah: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu
Popis: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra.
CVE-2021-30735: Jack Dates (RET2 Systems, Inc., @ret2systems) v spolupráci s Trend Micro Zero Day Initiative
Dátum pridania záznamu: 21. júla 2021
Heimdal
Dostupné pre: macOS Mojave
Dosah: Aplikácia so škodlivým kódom môže spôsobiť odmietnutie služby alebo potenciálne sprístupniť obsah pamäte
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: macOS Mojave
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: macOS Mojave
Dosah: Spracovanie serverových správ so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: macOS Mojave
Dosah: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: macOS Mojave
Dosah: Aplikácia so škodlivým kódom môže spustiť ľubovoľný kód a spôsobiť tak únik používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupné pre: macOS Mojave
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru ASTC so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30705: Ye Zhang (Baidu Security)
Intel Graphics Driver
Dostupné pre: macOS Mojave
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupné pre: macOS Mojave
Dosah: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu
Popis: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra.
CVE-2021-30726: Yinyi Wu (@3ndy1) (Qihoo 360 Vulcan Team)
Dátum pridania záznamu: 21. júla 2021
Kernel
Dostupné pre: macOS Mojave
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30704: Anonymný výskumník
Kernel
Dostupné pre: macOS Mojave
Dosah: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania
Popis: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Dátum pridania záznamu: 21. júla 2021
Login Window
Dostupné pre: macOS Mojave
Dosah: Osoba s fyzickým prístupom k Macu môže byť schopná obísť prihlasovacie okno
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC).
Dostupné pre: macOS Mojave
Dosah: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu
Popis: Útočník s oprávneniami v sieti môže byť schopný použiť falošný stav aplikácie.
CVE-2021-30696: Fabian Ising a Damian Poddebniak z Univerzity aplikovaných vied v Münsteri
Dátum pridania záznamu: 21. júla 2021
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30819
Dátum pridania záznamu: 25. mája 2022
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30723: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30691: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30694: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30692: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30746: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2021-30693: Mickey Jin (@patch1t) a Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30695: Mickey Jin (@patch1t) a Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30708: Mickey Jin (@patch1t) a Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30709: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupné pre: macOS Mojave
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30725: Mickey Jin (@patch1t) (Trend Micro)
NSOpenPanel
Dostupné pre: macOS Mojave
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Dostupné pre: macOS Mojave
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Dostupné pre: macOS Mojave
Dosah: Problém s logikou overovania cesty pre pevné odkazy bol vyriešený vylepšením čistenia ciest
Popis: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory.
CVE-2021-30738: Qingyang Chen (Topsec Alpha Team), Csaba Fitzl (@theevilbit) (Offensive Security)
Dátum pridania záznamu: 21. júla 2021
Security
Dostupné pre: macOS Mojave
Dosah: Problém súvisiaci s poškodením pamäte v dekodéri ASN.1 bol vyriešený odstránením nedostatočne zabezpečeného kódu
Popis: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu.
CVE-2021-30737: xerub
Dátum pridania záznamu: 21. júla 2021
smbx
Dostupné pre: macOS Mojave
Dosah: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupné pre: macOS Mojave
Dosah: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupné pre: macOS Mojave
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupné pre: macOS Mojave
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupné pre: macOS Mojave
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
Ďalšie poďakovanie
Bluetooth
Poďakovanie za pomoc si zaslúži say2 (ENKI).
Dátum pridania záznamu: 25. mája 2022
CFString
Poďakovanie za pomoc si zaslúži anonymný výskumník.
CoreCapture
Poďakovanie za pomoc si zaslúži Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab).