Om säkerhetsinnehållet i Säkerhetsuppdatering 2021-004 Mojave
Det här dokumentet beskriver säkerhetsinnehållet i Säkerhetsuppdatering 2021-004 Mojave.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
Säkerhetsuppdatering 2021-004 Mojave
AMD
Tillgängligt för: macOS Mojave
Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30676: shrek_wzw
AMD
Tillgängligt för: macOS Mojave
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30678: Yu Wang på Didi Research America
apache
Tillgängligt för: macOS Mojave
Effekt: flera problem i Apache
Beskrivning: Flera problem i Apache åtgärdades genom uppdatering av Apache till version 2.4.46.
CVE-2021-30690: En anonym forskare
AppleScript
Tillgängligt för: macOS Mojave
Effekt: en skadlig app kan komma förbi Gatekeeper-kontroller
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30669: Yair Hoffman
Core Services
Tillgängligt för: macOS Mojave
Effekt: En skadlig app kan tillskansa sig rotbehörighet
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2021-30681: Zhongcheng Li (CK01)
CVMS
Tillgängligt för: macOS Mojave
Effekt: en lokal angripare kan höja sin behörighet
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2021-30724: Mickey Jin (@patch1t) på Trend Micro
Graphics Drivers
Tillgängligt för: macOS Mojave
Effekt: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna
Beskrivning: En skadlig app kan köra opålitlig kod med kernelbehörighet.
CVE-2021-30735: Jack Dates på RET2 Systems, Inc. (@ret2systems) i samarbete med Trend Micro Zero Day Initiative
Heimdal
Tillgängligt för: macOS Mojave
Effekt: en skadlig app kan orsaka ett överbelastningsangrepp (dos-angrepp) eller möjligen avslöja innehåll från minnet
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tillgängligt för: macOS Mojave
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tillgängligt för: macOS Mojave
Effekt: Bearbetning av skadliga servermeddelanden kan leda till heap-fel
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tillgängligt för: macOS Mojave
Effekt: En lokal användare kan läcka känslig användarinformation
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tillgängligt för: macOS Mojave
Effekt: En skadlig app kan köra opålitlig kod, vilket kan leda till att användarinformation avslöjas
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en xml-fil med skadligt innehåll kan leda till att användarinformation avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-30687: Hou JingYi (@hjy79425575) på Qihoo 360
ImageIO
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en ASTC-fil med skadligt innehåll kan avslöja innehåll från minnet
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2021-30705: Ye Zhang på Baidu Security
Intel Graphics Driver
Tillgängligt för: macOS Mojave
Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-30728: Liu Long på Ant Security Light-Year Lab
Intel Graphics Driver
Tillgängligt för: macOS Mojave
Effekt: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna
Beskrivning: En skadlig app kan köra opålitlig kod med kernelbehörighet.
CVE-2021-30726: Yinyi Wu (@3ndy1) på Qihoo 360 Vulcan Team
Kernel
Tillgängligt för: macOS Mojave
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30704: en anonym forskare
Kernel
Tillgängligt för: macOS Mojave
Effekt: Ett minnesfel åtgärdades med hjälp av förbättrad validering
Beskrivning: En lokal angripare kan höja sin behörighet.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab
Login Window
Tillgängligt för: macOS Mojave
Effekt: En person med fysisk åtkomst till en Mac-dator kan kringgå inloggningsfönstret
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30702: Jewel Lambert på Original Spin, LLC.
Tillgängligt för: macOS Mojave
Effekt: Ett logikfel åtgärdades genom förbättrad tillståndshantering
Beskrivning: En angripare i en privilegierad nätverksposition kan felaktigt visa en applikations tillstånd.
CVE-2021-30696: Fabian Ising och Damian Poddebniak på Münster University of Applied Sciences
Model I/O
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-30819
Model I/O
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet
Beskrivning: Ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30723: Mickey Jin (@patch1t) på Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) på Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) på Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) på Trend Micro
Model I/O
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-30746: Mickey Jin (@patch1t) på Trend Micro
Model I/O
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2021-30693: Mickey Jin (@patch1t) och Junzhi Lu (@pwn0rz) på Trend Micro
Model I/O
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-30695: Mickey Jin (@patch1t) och Junzhi Lu (@pwn0rz) på Trend Micro
Model I/O
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en skadlig USD-fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-30708: Mickey Jin (@patch1t) och Junzhi Lu (@pwn0rz) på Trend Micro
Model I/O
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2021-30709: Mickey Jin (@patch1t) på Trend Micro
Model I/O
Tillgängligt för: macOS Mojave
Effekt: bearbetning av en skadlig USD-fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30725: Mickey Jin (@patch1t) på Trend Micro
NSOpenPanel
Tillgängligt för: macOS Mojave
Effekt: En app kan få högre behörighet
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Tillgängligt för: macOS Mojave
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-36226
CVE-2020-36229
CVE-2020-36225
CVE-2020-36224
CVE-2020-36223
CVE-2020-36227
CVE-2020-36228
CVE-2020-36221
CVE-2020-36222
CVE-2020-36230
PackageKit
Tillgängligt för: macOS Mojave
Effekt: Ett problem med logiken för validering av sökvägar för hårda länkar åtgärdades genom förbättrad sökvägssanering
Beskrivning: En skadlig app kan godtyckligt skriva över filer.
CVE-2021-30738: Qingyang Chen på Topsec Alpha Team, Csaba Fitzl (@theevilbit) på Offensive Security
Security
Tillgängligt för: macOS Mojave
Effekt: Ett minnesfel i ASN.1-avkodaren åtgärdades genom borttagning av den sårbara koden
Beskrivning: Bearbetning av ett certifikat med skadligt innehåll kan ge upphov till körning av opålitlig kod.
CVE-2021-30737: xerub
smbx
Tillgängligt för: macOS Mojave
Effekt: En angripare i en privilegierad nätverksposition kan utföra ett dos-angrepp
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30716: Aleksandar Nikolic på Cisco Talos
smbx
Tillgängligt för: macOS Mojave
Effekt: En angripare i en privilegierad nätverksposition kan köra opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30717: Aleksandar Nikolic på Cisco Talos
smbx
Tillgängligt för: macOS Mojave
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30712: Aleksandar Nikolic på Cisco Talos
smbx
Tillgängligt för: macOS Mojave
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2021-30721: Aleksandar Nikolic på Cisco Talos
smbx
Tillgängligt för: macOS Mojave
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: Ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.
CVE-2021-30722: Aleksandar Nikolic på Cisco Talos
Ytterligare tack
Bluetooth
Vi vill tacka say2 på ENKI för hjälpen.
CFString
Vi vill tacka en anonym forskare för hjälpen.
CoreCapture
Vi vill tacka Zuozhi Fan (@pattern_F_) på Ant-financial TianQiong Security Lab för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.