Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2021-004 Catalina
Dátum vydania: 21. júla 2021
AMD Kernel
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30805: ABC Research s.r.o.
AppKit
Dostupné pre: macOS Catalina
Dosah: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2021-30790: hjy79425575 v spolupráci s Trend Micro Zero Day Initiative
AppleMobileFileIntegrity
Dostupné pre: macOS Catalina
Dosah: Lokálny útočník môže byť schopný čítať citlivé informácie
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30811: Anonymný výskumník spolupracujúci s organizáciou Compartir
Dátum pridania záznamu: 19. januára 2022
Audio
Dostupné pre: macOS Catalina
Dopad: Lokálny útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30781: tr3e
Bluetooth
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30672: say2 z tímu ENKI
CoreAudio
Dostupné pre: macOS Catalina
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30775: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupné pre: macOS Catalina
Dosah: Prehrávanie zvukového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30776: JunDong Xie (Ant Security Light-Year Lab)
CoreServices
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30772: Zhongcheng Li (CK01)
Dátum pridania záznamu: 19. januára 2022
CoreStorage
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30777: Tim Michaud (@TimGMichaud) (Zoom Video Communications) a Gary Nield (ECSC Group plc)
CoreText
Dostupné pre: macOS Catalina
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30789: Sunglin z tímu Knownsec 404, Mickey Jin (@patch1t) (Trend Micro)
CoreText
Dostupné pre: macOS Catalina
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30733: Sunglin (Knownsec 404)
Crash Reporter
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30774: Yizhuo Wang (Group of Software Security In Progress – G.O.S.S.I.P, Shanghai Jiao Tong University)
Dátum pridania záznamu: 19. januára 2022
CVMS
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30780: Tim Michaud (@TimGMichaud) (Zoom Video Communications)
dyld
Dostupné pre: macOS Catalina
Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Dostupné pre: macOS Catalina
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30760: Sunglin z tímu Knownsec 404
FontParser
Dostupné pre: macOS Catalina
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30759: hjy79425575 v spolupráci s Trend Micro Zero Day Initiative
FontParser
Dostupné pre: macOS Catalina
Dopad: Spracovanie súboru TIFF so škodlivým kódom môže viesť k odmietnutiu služby alebo potenciálnemu odhaleniu obsahu pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30788: tr3e v spolupráci s Trend Micro Zero Day Initiative
ImageIO
Dostupné pre: macOS Catalina
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30785: Mickey Jin (@patch1t) (Trend Micro), CFF (Topsec Alpha Team)
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30787: Anonymný výskumník v spolupráci s Trend Micro Zero Day Initiative
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30765: Yinyi Wu (@3ndy1) (Qihoo 360 Vulcan Team), Liu Long (Ant Security Light-Year Lab)
CVE-2021-30766: Liu Long (Ant Security Light-Year Lab)
Dátum aktualizácie záznamu: 19. januára 2022
IOKit
Dostupné pre: macOS Catalina
Dopad: Lokálny útočník môže byť schopný spustiť kód na bezpečnostnom čipe Apple T2
Popis: Niekoľko problémov bolo vyriešených vylepšením logiky.
CVE-2021-30784: George Nosenko
Dátum pridania záznamu: 19. januára 2022
IOUSBHostFamily
Dostupné pre: macOS Catalina
Dosah: Aplikácia bez potrebných oprávnení môže byť schopná prevziať kontrolu nad USB zariadeniami
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30731: UTM (@UTMapp)
Kernel
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30703: Anonymný výskumník
Kernel
Dostupné pre: macOS Catalina
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30793: Zuozhi Fan (@pattern_F_) (Ant Security TianQiong Lab)
LaunchServices
Dostupné pre: macOS Catalina
Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-2021-30677: Ron Waisberg (@epsilan)
LaunchServices
Dostupné pre: macOS Catalina
Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
CVE-2021-30783: Ron Waisberg (@epsilan)
Model I/O
Dostupné pre: macOS Catalina
Dosah: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30791: Anonymný výskumník v spolupráci s Trend Micro Zero Day Initiative
Dátum pridania záznamu: 19. januára 2022
Model I/O
Dostupné pre: macOS Catalina
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30792: Anonymný výskumník v spolupráci s Trend Micro Zero Day Initiative
Dátum pridania záznamu: 19. januára 2022
Model I/O
Dostupné pre: macOS Catalina
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30796: Mickey Jin (@patch1t) (Trend Micro)
Sandbox
Dostupné pre: macOS Catalina
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30782: Csaba Fitzl (@theevilbit) (Offensive Security)
WebKit
Dostupné pre: macOS Catalina
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2021-30799: Sergei Glazunov (Google Project Zero)
Ďalšie poďakovanie
configd
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
CoreServices
Poďakovanie za pomoc si zaslúži Zhongcheng Li (CK01).
CoreText
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t, Trend Micro).
Crash Reporter
Poďakovanie za pomoc si zaslúži Yizhuo Wang (Group of Software Security In Progress – G.O.S.S.I.P, Shanghai Jiao Tong University).
crontabs
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
IOKit
Poďakovanie za pomoc si zaslúži George Nosenko.
libxml2
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Power Management
Poďakovanie za pomoc si zaslúžia Pan ZhenPeng (@Peterpan0927) z tímu Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) a Lisandro Ubiedo (@_lubiedo) z tímu Stratosphere Lab
Dátum pridania záznamu: 22. decembra 2022
Spotlight
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
sysdiagnose
Poďakovanie za pomoc si zaslúžia Carter Jones (linkedin.com/in/carterjones/) a Tim Michaud (@TimGMichaud) (Zoom Video Communications).
Dátum pridania záznamu: 25. mája 2022