Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
Güvenlik Güncellemesi 2021-003 Mojave
Yayınlanma tarihi: 26 Nisan 2021
APFS
İlgili sürüm: macOS Mojave
Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2021-1797: Thomas Tempelmann
Audio
İlgili sürüm: macOS Mojave
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1808: Ant Security Light-Year Lab'den JunDong Xie
CFNetwork
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1857: anonim bir araştırmacı
CoreAudio
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1809: Ant Security Light-Year Lab'den JunDong Xie
CoreGraphics
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlarla oluşturulmuş bir dosyayı açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1847: Purdue Üniversitesinden Xuwei Liu
CoreText
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1811: Ant Security Light-Year Lab'den Xingwei Lin
curl
İlgili sürüm: macOS Mojave
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek arabellek taşması sorunu giderildi.
CVE-2020-8285: xnynx
curl
İlgili sürüm: macOS Mojave
Etki: Bir saldırgan, geçerli gibi görünen sahte bir OCSP yanıtı sağlayabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-8286: anonim bir araştırmacı
DiskArbitration
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlı bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: DiskArbitration'da bir izin sorunu vardı. Ek sahiplik denetimleriyle bu sorun giderildi.
CVE-2021-1784: Offensive Security'den Csaba Fitzl (@theevilbit), anonim bir araştırmacı ve SensorFu'dan Mikko Kenttälä (@Turmio_)
FontParser
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-1881: Qihoo 360'tan Hou JingYi (@hjy79425575), anonim bir araştırmacı, Ant Security Light-Year Lab'den Xingwei Lin ve Trend Micro'dan Mickey Jin
FontParser
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-27942: anonim bir araştırmacı
Foundation
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2021-1813: Cees Elzinga
ImageIO
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2021-1843: Baidu Security'den Ye Zhang
Intel Graphics Driver
İlgili sürüm: macOS Mojave
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2021-1805: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)
Intel Graphics Driver
İlgili sürüm: macOS Mojave
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2021-1806: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)
Intel Graphics Driver
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2021-1834: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)
Kernel
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1860: @0xalsr
Kernel
İlgili sürüm: macOS Mojave
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1851: @0xalsr
Kernel
İlgili sürüm: macOS Mojave
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1840: Ant Group Tianqiong Security Lab'den Zuozhi Fan (@pattern_F_)
libxpc
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2021-30652: James Hutchins
libxslt
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.
CVE-2021-1875: OSS-Fuzz tarafından bulundu
NSRemoteView
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2021-1876: Google Chrome'dan Matthew Denton
Preferences
İlgili sürüm: macOS Mojave
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.
CVE-2021-1739: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
smbx
İlgili sürüm: macOS Mojave
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tamsayı taşması sorunu giderildi.
CVE-2021-1878: Cisco Talos'tan (talosintelligence.com) Aleksandar Nikolic
Tailspin
İlgili sürüm: macOS Mojave
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1868: Zoom Communications'dan Tim Michaud
tcpdump
İlgili sürüm: macOS Mojave
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2020-8037: anonim bir araştırmacı
Time Machine
İlgili sürüm: macOS Mojave
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2021-1839: Zoom Video Communications'dan Tim Michaud (@TimGMichaud) ve ECSC Group plc'den Gary Nield
Wi-Fi
İlgili sürüm: macOS Mojave
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1828: Ant Group Tianqiong Security Lab'den Zuozhi Fan (@pattern_F_)
wifivelocityd
İlgili sürüm: macOS Mojave
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
WindowServer
İlgili sürüm: macOS Mojave
Etki: Kötü amaçlı bir uygulama, kullanıcının kimlik bilgilerini güvenli metin alanlarından beklenmedik şekilde sızdırabilir
Açıklama: Durum yönetimi iyileştirilerek Erişilebilirlik TCC izinlerindeki bir API sorunu giderildi.
CVE-2021-1873: anonim bir araştırmacı