Om säkerhetsinnehållet i Säkerhetsuppdatering 2021-004 Mojave

Det här dokumentet beskriver säkerhetsinnehållet i Säkerhetsuppdatering 2021-004 Mojave.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

Säkerhetsuppdatering 2021-004 Mojave

Släpptes 24 maj 2021

AMD

Tillgängligt för: macOS Mojave

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30676: shrek_wzw

AMD

Tillgängligt för: macOS Mojave

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30678: Yu Wang på Didi Research America

apache

Tillgängligt för: macOS Mojave

Effekt: flera problem i Apache

Beskrivning: Flera problem i Apache åtgärdades genom uppdatering av Apache till version 2.4.46.

CVE-2021-30690: En anonym forskare

AppleScript

Tillgängligt för: macOS Mojave

Effekt: en skadlig app kan komma förbi Gatekeeper-kontroller

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30669: Yair Hoffman

Core Services

Tillgängligt för: macOS Mojave

Effekt: En skadlig app kan tillskansa sig rotbehörighet

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2021-30681: Zhongcheng Li (CK01)

CVMS

Tillgängligt för: macOS Mojave

Effekt: en lokal angripare kan höja sin behörighet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-30724: Mickey Jin (@patch1t) på Trend Micro

Graphics Drivers

Tillgängligt för: macOS Mojave

Effekt: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna

Beskrivning: En skadlig app kan köra opålitlig kod med kernelbehörighet.

CVE-2021-30735: Jack Dates på RET2 Systems, Inc. (@ret2systems) i samarbete med Trend Micro Zero Day Initiative

Lades till 21 juli 2021

Heimdal

Tillgängligt för: macOS Mojave

Effekt: en skadlig app kan orsaka ett överbelastningsangrepp (dos-angrepp) eller möjligen avslöja innehåll från minnet

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

Tillgängligt för: macOS Mojave

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

Heimdal

Tillgängligt för: macOS Mojave

Effekt: Bearbetning av skadliga servermeddelanden kan leda till heap-fel

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Tillgängligt för: macOS Mojave

Effekt: En lokal användare kan läcka känslig användarinformation

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Tillgängligt för: macOS Mojave

Effekt: En skadlig app kan köra opålitlig kod, vilket kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en xml-fil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30687: Hou JingYi (@hjy79425575) på Qihoo 360

ImageIO

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en ASTC-fil med skadligt innehåll kan avslöja innehåll från minnet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-30705: Ye Zhang på Baidu Security

Intel Graphics Driver

Tillgängligt för: macOS Mojave

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30728: Liu Long på Ant Security Light-Year Lab

Intel Graphics Driver

Tillgängligt för: macOS Mojave

Effekt: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna

Beskrivning: En skadlig app kan köra opålitlig kod med kernelbehörighet.

CVE-2021-30726: Yinyi Wu (@3ndy1) på Qihoo 360 Vulcan Team

Lades till 21 juli 2021

Kernel

Tillgängligt för: macOS Mojave

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30704: en anonym forskare

Kernel

Tillgängligt för: macOS Mojave

Effekt: Ett minnesfel åtgärdades med hjälp av förbättrad validering

Beskrivning: En lokal angripare kan höja sin behörighet.

CVE-2021-30739: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab

Lades till 21 juli 2021

Login Window

Tillgängligt för: macOS Mojave

Effekt: En person med fysisk åtkomst till en Mac-dator kan kringgå inloggningsfönstret

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30702: Jewel Lambert på Original Spin, LLC.

Mail

Tillgängligt för: macOS Mojave

Effekt: Ett logikfel åtgärdades genom förbättrad tillståndshantering

Beskrivning: En angripare i en privilegierad nätverksposition kan felaktigt visa en applikations tillstånd.

CVE-2021-30696: Fabian Ising och Damian Poddebniak på Münster University of Applied Sciences

Lades till 21 juli 2021

Model I/O

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30819

Lades till 25 maj 2022

Model I/O

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet

Beskrivning: Ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30723: Mickey Jin (@patch1t) på Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t) på Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t) på Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t) på Trend Micro

Model I/O

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30746: Mickey Jin (@patch1t) på Trend Micro

Model I/O

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2021-30693: Mickey Jin (@patch1t) och Junzhi Lu (@pwn0rz) på Trend Micro

Model I/O

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30695: Mickey Jin (@patch1t) och Junzhi Lu (@pwn0rz) på Trend Micro

Model I/O

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en skadlig USD-fil kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30708: Mickey Jin (@patch1t) och Junzhi Lu (@pwn0rz) på Trend Micro

Model I/O

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-30709: Mickey Jin (@patch1t) på Trend Micro

Model I/O

Tillgängligt för: macOS Mojave

Effekt: bearbetning av en skadlig USD-fil kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30725: Mickey Jin (@patch1t) på Trend Micro

NSOpenPanel

Tillgängligt för: macOS Mojave

Effekt: En app kan få högre behörighet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

Tillgängligt för: macOS Mojave

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2020-36226

CVE-2020-36229

CVE-2020-36225

CVE-2020-36224

CVE-2020-36223

CVE-2020-36227

CVE-2020-36228

CVE-2020-36221

CVE-2020-36222

CVE-2020-36230

PackageKit

Tillgängligt för: macOS Mojave

Effekt: Ett problem med logiken för validering av sökvägar för hårda länkar åtgärdades genom förbättrad sökvägssanering

Beskrivning: En skadlig app kan godtyckligt skriva över filer.

CVE-2021-30738: Qingyang Chen på Topsec Alpha Team, Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 21 juli 2021

Security

Tillgängligt för: macOS Mojave

Effekt: Ett minnesfel i ASN.1-avkodaren åtgärdades genom borttagning av den sårbara koden

Beskrivning: Bearbetning av ett certifikat med skadligt innehåll kan ge upphov till körning av opålitlig kod.

CVE-2021-30737: xerub

Lades till 21 juli 2021

smbx

Tillgängligt för: macOS Mojave

Effekt: En angripare i en privilegierad nätverksposition kan utföra ett dos-angrepp

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30716: Aleksandar Nikolic på Cisco Talos

smbx

Tillgängligt för: macOS Mojave

Effekt: En angripare i en privilegierad nätverksposition kan köra opålitlig kod

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30717: Aleksandar Nikolic på Cisco Talos

smbx

Tillgängligt för: macOS Mojave

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30712: Aleksandar Nikolic på Cisco Talos

smbx

Tillgängligt för: macOS Mojave

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2021-30721: Aleksandar Nikolic på Cisco Talos

smbx

Tillgängligt för: macOS Mojave

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Ett problem med att information avslöjades åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30722: Aleksandar Nikolic på Cisco Talos

 

Ytterligare tack

Bluetooth

Vi vill tacka say2 på ENKI för hjälpen.

Lades till 25 maj 2022

CFString

Vi vill tacka en anonym forskare för hjälpen.

CoreCapture

Vi vill tacka Zuozhi Fan (@pattern_F_) på Ant-financial TianQiong Security Lab för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: