Om säkerhetsinnehållet i macOS Big Sur 11.2, säkerhetsuppdatering 2021-001 Catalina, säkerhetsuppdatering 2021-001 Mojave

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Big Sur 11.2, säkerhetsuppdatering 2021-001 Catalina, säkerhetsuppdatering 2021-001 Mojave.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Big Sur 11.2, säkerhetsuppdatering 2021-001 Catalina, säkerhetsuppdatering 2021-001 Mojave

Analytics

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1761: Cees Elzinga

APFS

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En lokal användare kan läsa opålitliga filer

Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2021-1797: Thomas Tempelmann

CFNetwork Cache

Tillgänglig för: macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2020-27945: Zhuo Liang på Qihoo 360 Vulcan Team

CoreAnimation

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En skadlig app kan köra opålitlig kod, vilket kan leda till att användarinformation avslöjas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1760: @S0rryMybad på 360 Vulcan Team

CoreAudio

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1747: JunDong Xie på Ant Security Light-Year Lab

CoreGraphics

Tillgänglig för: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1776: Ivan Fratric på Google Project Zero

CoreMedia

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1759: Hou JingYi (@hjy79425575) på Qihoo 360 CERT

CoreText

Tillgänglig för: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Bearbetning av en textfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2021-1772: Mickey Jin (@patch1t) på Trend Micro i samarbete med Trend Micros Zero Day Initiative

CoreText

Tillgänglig för: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1792: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Crash Reporter

Tillgänglig för: macOS Catalina 10.15.7

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1761: Cees Elzinga

Crash Reporter

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: En lokal angripare kan höja sin behörighet

Beskrivning: Flera problem åtgärdades med förbättrad logik.

CVE-2021-1787: James Hutchins

Crash Reporter

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: En lokal användare kan skapa och ändra systemfiler

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1786: Csaba Fitzl (@theevilbit) på Offensive Security

Directory Utility

Tillgänglig för: macOS Catalina 10.15.7

Effekt: En app med skadligt innehåll kan få tillgång till personlig information

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) på SecuRing

Endpoint Security

Tillgänglig för: macOS Catalina 10.15.7

Effekt: En lokal angripare kan höja sin behörighet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1802: Zhongcheng Li (@CK01) på WPS Security Response Center

FairPlay

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En app med skadligt innehåll kan komma åt kernelminnet

Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun och Mickey Jin på Trend Micro i samarbete med Trend Micros Zero Day Initiative

FontParser

Tillgänglig för: macOS Catalina 10.15.7

Effekt: Bearbetning av typsnitt med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1790: Peter Nguyen Vu Hoang på STAR Labs

FontParser

Tillgängligt för: macOS Mojave 10.14.6

Effekt: Bearbetning av typsnitt med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2021-1775: Mickey Jin och Qi Sun på Trend Micro i samarbete med Trend Micros Zero Day Initiative

FontParser

Tillgängligt för: macOS Mojave 10.14.6

Effekt: En fjärrangripare kan läcka minne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-29608: Xingwei Lin på Ant Security Light-Year Lab

FontParser

Tillgänglig för: macOS Big Sur 11.0.1 och macOS Catalina 10.15.7

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1758: Peter Nguyen på STAR Labs

ImageIO

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.

CVE-2021-1783: Xingwei Lin på Ant Security Light-Year Lab

ImageIO

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1741: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative, Xingwei Lin på Ant Security Light-Year Lab

ImageIO

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1773: Xingwei Lin på Ant Security Light-Year Lab

ImageIO

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Ett problem med läsning utanför gränserna fanns i curl. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2021-1778: Xingwei Lin på Ant Security Light-Year Lab

ImageIO

Tillgänglig för: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1736: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1785: Xingwei Lin på Ant Security Light-Year Lab

ImageIO

Tillgänglig för: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1766: Danny Rosseau på Carve Systems

ImageIO

Tillgänglig för: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1818: Xingwei Lin på Ant-Financial Light-Year Security Lab

ImageIO

Tillgänglig för: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1742: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin(@singi21a) på THEORI, Mickey Jin och Qi Sun på Trend Micro i samarbete med Trend Micros Zero Day Initiative, Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin på Ant Security Light-Year Lab

ImageIO

Tillgänglig för: macOS Big Sur 11.0.1 och macOS Catalina 10.15.7

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1737: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1738: Lei Sun

CVE-2021-1744: Xingwei Lin på Ant Security Light-Year Lab

IOKit

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En app kan köra opålitlig kod med systembehörighet

Beskrivning: Ett logikfel i kext-inläsning åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1779: Csaba Fitzl (@theevilbit) på Offensive Security

IOSkywalkFamily

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En lokal angripare kan höja sin behörighet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) på Alibaba Security, Proteas

Kernel

Tillgänglig för: macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Det fanns ett logikproblem som ledde till minnesfel. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab

Kernel

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-1764: @m00nbsd

Kernel

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Ett program med skadligt innehåll kan höja behörigheter. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2021-1782: En anonym forskare

Kernel

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Flera problem åtgärdades med förbättrad logik.

CVE-2021-1750: @0xalsr

Login Window

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: En angripare med privilegierad nätverksposition kan kringgå autentiseringspolicyn

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2020-29633: Jewel Lambert på Original Spin, LLC.

Messages

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Ett skadligt program kan läcka känslig användarinformation

Beskrivning: Ett integritetsproblem förekom i hanteringen av kontaktkort. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1781: Csaba Fitzl (@theevilbit) på Offensive Security

Messages

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: En användare som togs bort från en iMessage-grupp kunde gå med i gruppen igen

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)

Model I/O

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1762: Mickey Jin på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Model I/O

Tillgänglig för: macOS Catalina 10.15.7

Effekt: Bearbetning av en skadlig fil kan leda till heap-fel

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) på Topsec Alpha Lab

Model I/O

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2021-1763: Mickey Jin på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Model I/O

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Bearbetning av en skadlig bild kan leda till heap-fel

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1767: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Model I/O

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Bearbetning av en USD-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1745: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Model I/O

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1753: Mickey Jin på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Model I/O

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Bearbetning av en skadlig USD-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1768: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative

NetFSFramework

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: Montering av en skadligt utformad Samba-nätverksresurs kan leda till körning av opålitlig kod

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1751: Mikko Kenttälä (@Turmio_) på SensorFu

OpenLDAP

Tillgänglig för: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 och macOS Mojave 10.14.6

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2020-25709

Power Management

Tillgänglig för: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Effekt: Ett program med skadligt innehåll kan höja behörigheter

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-27938: Tim Michaud (@TimGMichaud) på Leviathan

Screen Sharing

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Flera problem i pcre

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 8.44.

CVE-2019-20838

CVE-2020-14155

SQLite

Tillgänglig för: macOS Catalina 10.15.7

Effekt: Flera problem i SQLite

Beskrivning: Flera problem åtgärdades med förbättrade kontroller.

CVE-2020-15358

Swift

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En angripare med godtycklig läs- och skrivkapacitet kan kringgå pekarautentisering

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-1769: CodeColorist på Ant-Financial Light-Year Labs

WebKit

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-1788: Francisco Alonso (@revskills)

WebKit

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Skadligt webbinnehåll kan bryta mot policyn för sandlådefunktioner för iframe

Beskrivning: Problemet åtgärdades genom förbättrat upprätthållande av iframe-sandlåda.

CVE-2021-1765: Eliya Stein på Confiant

CVE-2021-1801: Eliya Stein of Confiant

WebKit

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2021-1789: @S0rryMybad på 360 Vulcan Team

WebKit

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2021-1871: En anonym forskare

CVE-2021-1870: En anonym forskare

WebRTC

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En webbplats med skadligt innehåll kan komma åt portar med begränsad åtkomst på godtyckliga servrar

Beskrivning: Ett problem med omdirigering av portar åtgärdades med ytterligare portvalidering.

CVE-2021-1799: Gregory Vishnepolsky och Ben Seri på Armis Security och Samy Kamkar

XNU

Tillgänglig för: macOS Big Sur 11.0.1

Effekt: En skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2021-30869: Apple

Ytterligare tack

Kernel

Vi vill tacka Junzhi Lu (@pwn0rz), Mickey Jin och Jesse Change på Trend Micro för hjälpen.

libpthread

Vi vill tacka CodeColorist på Ant-Financial Light-Year Labs för hjälpen.

Login Window

Vi vill tacka Jose Moises Romero-Villanueva på CrySolve för hjälpen.

Mail Drafts

Vi vill tacka Jon Bottarini på HackerOne för hjälpen.

Server för Skärmdelning

Vi vill tacka @gorelics för hjälpen.

WebRTC

Vi vill tacka Philipp Hancke för hjälpen.