Om säkerhetsinnehållet i Säkerhetsuppdatering 2021-003 Mojave
Det här dokumentet beskriver säkerhetsinnehållet i Säkerhetsuppdatering 2021-003 Mojave.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
Säkerhetsuppdatering 2021-003 Mojave
APFS
Tillgängligt för: macOS Mojave
Effekt: En lokal användare kan läsa opålitliga filer
Beskrivning: problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2021-1797: Thomas Tempelmann
Audio
Tillgängligt för: macOS Mojave
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2021-1808: JunDong Xie på Ant Security Light-Year Lab
CFNetwork
Tillgängligt för: macOS Mojave
Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2021-1857: en anonym forskare
CoreAudio
Tillgängligt för: macOS Mojave
Effekt: Ett program med skadligt innehåll utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2021-1809: JunDong Xie på Ant Security Light-Year Lab
CoreGraphics
Tillgängligt för: macOS Mojave
Effekt: Öppnande av en fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2021-1847: Xuwei Liu på Purdue University
CoreText
Tillgängligt för: macOS Mojave
Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1811: Xingwei Lin på Ant Security Light-Year Lab
curl
Tillgängligt för: macOS Mojave
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: ett buffertspill åtgärdades genom förbättrad indatavalidering.
CVE-2020-8285: xnynx
curl
Tillgängligt för: macOS Mojave
Effekt: en angripare kan ge ett felaktigt OCSP-svar som kan verka riktigt
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2020-8286: en anonym forskare
DiskArbitration
Tillgängligt för: macOS Mojave
Effekt: Ett skadligt program kan ändra skyddade delar av filsystemet
Beskrivning: Det fanns ett behörighetsproblem i DiskArbitration. Det åtgärdades genom ytterligare ägarskapskontroller.
CVE-2021-1784: Csaba Fitzl (@theevilbit) på Offensive Security, en anonym forskare och Mikko Kenttälä (@Turmio_) på SensorFu
FontParser
Tillgängligt för: macOS Mojave
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-1881: Hou JingYi (@hjy79425575) på Qihoo 360, en anonym forskare, Xingwei Lin på Ant Security Light-Year Lab och Mickey Jin på Trend Micro
FontParser
Tillgängligt för: macOS Mojave
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-27942: en anonym forskare
Foundation
Tillgängligt för: macOS Mojave
Effekt: Ett skadligt program kan tillskansa sig rotbehörighet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2021-1813: Cees Elzinga
ImageIO
Tillgängligt för: macOS Mojave
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2021-1843: Ye Zhang på Baidu Security
Intel Graphics Driver
Tillgängligt för: macOS Mojave
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-1805: ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tillgängligt för: macOS Mojave
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2021-1806: ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tillgängligt för: macOS Mojave
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-1834: ABC Research s.r.o. i samarbete med Trend Micro Zero Day Initiative
Kernel
Tillgängligt för: macOS Mojave
Effekt: Ett program med skadligt innehåll kan komma åt kernelminnet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2021-1860: @0xalsr
Kernel
Tillgängligt för: macOS Mojave
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1851: @0xalsr
Kernel
Tillgängligt för: macOS Mojave
Effekt: En lokal angripare kan höja sin behörighet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab
libxpc
Tillgängligt för: macOS Mojave
Effekt: Ett skadligt program kan tillskansa sig rotbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2021-30652: James Hutchins
libxslt
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en skadlig fil kan leda till heap-fel
Beskrivning: ett dubbelt fritt fel åtgärdades genom förbättrad minneshantering.
CVE-2021-1875: hittades av OSS-Fuzz
NSRemoteView
Tillgängligt för: macOS Mojave
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2021-1876: Matthew Denton på Google Chrome
Preferences
Tillgängligt för: macOS Mojave
Effekt: En lokal användare kan ändra skyddade delar av filsystemet
Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.
CVE-2021-1739: Zhipeng Huo (@R3dF09) och Yuebin Sun (@yuebinsun2020) på Tencent Security Xuanwu Lab (xlab.tencent.com)
smbx
Tillgängligt för: macOS Mojave
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2021-1878: Aleksandar Nikolic på Cisco Talos (talosintelligence.com)
Tailspin
Tillgängligt för: macOS Mojave
Effekt: En lokal angripare kan höja sin behörighet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1868: Tim Michaud på Zoom Communications
tcpdump
Tillgängligt för: macOS Mojave
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2020-8037: en anonym forskare
Time Machine
Tillgängligt för: macOS Mojave
Effekt: En lokal angripare kan höja sin behörighet
Beskrivning: problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2021-1839: Tim Michaud(@TimGMichaud) på Zoom Video Communications och Gary Nield på ECSC Group plc
Wi-Fi
Tillgängligt för: macOS Mojave
Effekt: Ett program kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab
wifivelocityd
Tillgängligt för: macOS Mojave
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
WindowServer
Tillgängligt för: macOS Mojave
Effekt: ett skadligt program kan skapa oväntat läcka en användares integritetsinställningar från ett säkert textfält
Beskrivning: ett API-problem i behörighet för TCC-åtkomst åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1873: en anonym forskare
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.