Güvenlik Güncellemesi 2021-002 Catalina'nın güvenlik içeriği hakkında
Bu belgede Güvenlik Güncellemesi 2021-002 Catalina'nın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
Güvenlik Güncellemesi 2021-002 Catalina
APFS
İlgili sürüm: macOS Catalina
Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2021-1797: Thomas Tempelmann
Archive Utility
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1810: F-Secure'dan Rasmus Sten (@pajp)
Audio
İlgili sürüm: macOS Catalina
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1808: Ant Security Light-Year Lab'den JunDong Xie
CFNetwork
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1857: anonim bir araştırmacı
CoreAudio
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1809: Ant Security Light-Year Lab'den JunDong Xie
CoreAudio
İlgili sürüm: macOS Catalina
Etki: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi
Açıklama: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi sınırlandırılmış belleğin açığa çıkmasına neden olabilir.
CVE-2021-1846: Ant Security Light-Year Lab'den JunDong Xie
CoreGraphics
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir dosyayı açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1847: Purdue Üniversitesinden Xuwei Liu
CoreText
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1811: Ant Security Light-Year Lab'den Xingwei Lin
curl
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir sunucu, etkin servisleri açığa çıkarabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-8284: Marian Rehak
curl
İlgili sürüm: macOS Catalina
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek arabellek taşması sorunu giderildi.
CVE-2020-8285: xnynx
curl
İlgili sürüm: macOS Catalina
Etki: Bir saldırgan, geçerli gibi görünen sahte bir OCSP yanıtı sağlayabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-8286: anonim bir araştırmacı
DiskArbitration
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: DiskArbitration'da bir izin sorunu vardı. Ek sahiplik denetimleriyle bu sorun giderildi.
CVE-2021-1784: SensorFu'dan Mikko Kenttälä (@Turmio_), Offensive Security'den Csaba Fitzl (@theevilbit) ve anonim bir araştırmacı
FontParser
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-1881: Qihoo 360'tan Hou JingYi (@hjy79425575), anonim bir araştırmacı, Ant Security Light-Year Lab'den Xingwei Lin ve Trend Micro'dan Mickey Jin
FontParser
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-27942: anonim bir araştırmacı
Foundation
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2021-1813: Cees Elzinga
Foundation
İlgili sürüm: macOS Catalina
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
ImageIO
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2021-1843: Baidu Security'den Ye Zhang
ImageIO
İlgili sürüm: macOS Catalina
Etki: Sınır denetimi iyileştirilerek, sınırların dışında yazma sorunu giderildi
Açıklama: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi, rastgele kod yürütülmesine neden olabilir.
CVE-2021-1858: Trend Micro'dan Mickey Jin ve Qi Sun (Trend Micro'nun Zero Day Initiative programıyla)
Intel Graphics Driver
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2021-1834: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)
Intel Graphics Driver
İlgili sürüm: macOS Catalina
Etki: Sınır denetimi iyileştirilerek, sınırların dışında yazma sorunu giderildi
Açıklama: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir.
CVE-2021-1841: RET2 Systems, Inc. şirketinden Jack Dates
Kernel
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1860: @0xalsr
Kernel
İlgili sürüm: macOS Catalina
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1851: @0xalsr
Kernel
İlgili sürüm: macOS Catalina
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1840: Ant Group Tianqiong Security Lab'den Zuozhi Fan (@pattern_F_)
Kernel
İlgili sürüm: macOS Catalina
Etki: İzin mantığı iyileştirilerek bu sorun giderildi
Açıklama: Kopyalanan dosyalar, beklenen dosya izinlerine sahip olmayabilir.
CVE-2021-1832: anonim bir araştırmacı
libxpc
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2021-30652: James Hutchins
libxslt
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.
CVE-2021-1875: OSS-Fuzz tarafından bulundu
Login Window
İlgili sürüm: macOS Catalina
Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama gizli bilgilere erişebilir
Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.
CVE-2021-1824: SecuRing'den Wojciech Reguła (@_r3ggi)
NSRemoteView
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2021-1876: Google Chrome'dan Matthew Denton
Preferences
İlgili sürüm: macOS Catalina
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.
CVE-2021-1739: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
CVE-2021-1740: Tencent Security Xuanwu Lab'den (https://xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
smbx
İlgili sürüm: macOS Catalina
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tamsayı taşması sorunu giderildi.
CVE-2021-1878: Cisco Talos'tan (talosintelligence.com) Aleksandar Nikolic
System Preferences
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-30657: Cedric Owens (@cedowens)
Tailspin
İlgili sürüm: macOS Catalina
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1868: Zoom Communications'dan Tim Michaud
tcpdump
İlgili sürüm: macOS Catalina
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-8037: anonim bir araştırmacı
Time Machine
İlgili sürüm: macOS Catalina
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2021-1839: Zoom Video Communications'dan Tim Michaud (@TimGMichaud) ve ECSC Group plc'den Gary Nield
Wi-Fi
İlgili sürüm: macOS Catalina
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1828: Ant Group Tianqiong Security Lab'den Zuozhi Fan (@pattern_F_)
Wi-Fi
İlgili sürüm: macOS Catalina
Etki: İzin mantığı iyileştirilerek bu sorun giderildi
Açıklama: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir.
CVE-2021-30655: ECSC Group plc'den Gary Nield, Zoom Video Communications'dan Tim Michaud (@TimGMichaud), SecuRing'den Wojciech Reguła (@_r3ggi)
wifivelocityd
İlgili sürüm: macOS Catalina
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
WindowServer
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama, kullanıcının kimlik bilgilerini güvenli metin alanlarından beklenmedik şekilde sızdırabilir
Açıklama: Durum yönetimi iyileştirilerek Erişilebilirlik TCC izinlerindeki bir API sorunu giderildi.
CVE-2021-1873: anonim bir araştırmacı
Ek teşekkür listesi
CoreCrypto
Orange Group'tan Andy Russon'a yardımı için teşekkür ederiz.
Intel Graphics Driver
RET2 Systems, Inc. şirketinden Jack Dates'e yardımı için teşekkür ederiz.
Kernel
Politecnico di Milano'dan Antonio Frighetto'ya, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan ve anonim bir araştırmacıya yardımları için teşekkür ederiz.
Bonnier News'un Güvenlik Operasyonları ekibinden Petter Flink'e ve anonim bir araştırmacıya yardımları için teşekkür ederiz.
Safari
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
Security
John'a (@nyan_satan) ve Ant Security Light-Year Lab'den Xingwei Lin'e yardımları için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.