Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2021-005 Mojave
Dátum vydania: 21. júla 2021
AMD Kernel
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30805: ABC Research s.r.o.
AppKit
Dostupné pre: macOS Mojave
Dopad: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2021-30790: hjy79425575 v spolupráci s Trend Micro Zero Day Initiative
AppleMobileFileIntegrity
Dostupné pre: macOS Mojave
Dopad: Lokálny útočník môže byť schopný čítať citlivé informácie
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30811: Anonymný výskumník spolupracujúci s organizáciou Compartir
Dátum pridania záznamu: 19. januára 2022
Audio
Dostupné pre: macOS Mojave
Dopad: Lokálny útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30781: tr3e
Bluetooth
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30672: say2 z tímu ENKI
CoreServices
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30772: Zhongcheng Li (CK01)
Dátum pridania záznamu: 19. januára 2022
CoreStorage
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30777: Tim Michaud (@TimGMichaud) (Zoom Video Communications) a Gary Nield (ECSC Group plc)
CoreText
Dostupné pre: macOS Mojave
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30733: Sunglin (Knownsec 404)
CVMS
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30780: Tim Michaud (@TimGMichaud) (Zoom Video Communications)
FontParser
Dostupné pre: macOS Mojave
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30760: Sunglin z tímu Knownsec 404
FontParser
Dostupné pre: macOS Mojave
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30759: hjy79425575 v spolupráci s Trend Micro Zero Day Initiative
FontParser
Dostupné pre: macOS Mojave
Dopad: Spracovanie súboru TIFF so škodlivým kódom môže viesť k odmietnutiu služby alebo potenciálnemu odhaleniu obsahu pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30788: tr3e v spolupráci s Trend Micro Zero Day Initiative
Grafický ovládač Intel
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30787: Anonymný výskumník v spolupráci s Trend Micro Zero Day Initiative
Grafický ovládač Intel
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30765: Yinyi Wu (@3ndy1) (Qihoo 360 Vulcan Team), Liu Long (Ant Security Light-Year Lab)
CVE-2021-30766: Liu Long (Ant Security Light-Year Lab)
Dátum aktualizovania záznamu: 19. januára 2022
IOKit
Dostupné pre: macOS Mojave
Dopad: Lokálny útočník môže byť schopný spustiť kód na bezpečnostnom čipe Apple T2
Popis: Niekoľko problémov bolo vyriešených vylepšením logiky.
CVE-2021-30784: George Nosenko
Dátum pridania záznamu: 19. januára 2022
Kernel
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30703: Anonymný výskumník
Kernel
Dostupné pre: macOS Mojave
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30793: Zuozhi Fan (@pattern_F_) (Ant Security TianQiong Lab)
LaunchServices
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-2021-30677: Ron Waisberg (@epsilan)
LaunchServices
Dostupné pre: macOS Mojave
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
CVE-2021-30783: Ron Waisberg (@epsilan)
Model I/O
Dostupné pre: macOS Mojave
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30791: Anonymný výskumník v spolupráci s Trend Micro Zero Day Initiative
Dátum pridania záznamu: 19. januára 2022
Model I/O
Dostupné pre: macOS Mojave
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30792: Anonymný výskumník v spolupráci s Trend Micro Zero Day Initiative
Dátum pridania záznamu: 19. januára 2022
Model I/O
Dostupné pre: macOS Mojave
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30796: Mickey Jin (@patch1t) (Trend Micro)
Sandbox
Dostupné pre: macOS Mojave
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30782: Csaba Fitzl (@theevilbit) (Offensive Security)
WebKit
Dostupné pre: macOS Mojave
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2021-30799: Sergei Glazunov (Google Project Zero)
Ďalšie poďakovanie
configd
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
CoreServices
Poďakovanie za pomoc si zaslúži Zhongcheng Li (CK01).
CoreText
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t) (Trend Micro).
crontabs
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
IOKit
Poďakovanie za pomoc si zaslúži George Nosenko.
libxml2
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum aktualizovania záznamu: 21. júna 2022
Spotlight
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
sysdiagnose
Poďakovanie za pomoc si zaslúžia Carter Jones (linkedin.com/in/carterjones/) a Tim Michaud (@TimGMichaud) (Zoom Video Communications).
Dátum pridania záznamu: 25. mája 2022