Güvenlik Güncellemesi 2021-003 Mojave'nin güvenlik içeriği hakkında

Bu belgede Güvenlik Güncellemesi 2021-003 Mojave'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Güvenlik Güncellemesi 2021-003 Mojave

APFS

İlgili sürüm: macOS Mojave

Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2021-1797: Thomas Tempelmann

Audio

İlgili sürüm: macOS Mojave

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1808: Ant Security Light-Year Lab'den JunDong Xie

CFNetwork

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2021-1857: anonim bir araştırmacı

CoreAudio

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1809: Ant Security Light-Year Lab'den JunDong Xie

CoreGraphics

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlarla oluşturulmuş bir dosyayı açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1847: Purdue Üniversitesinden Xuwei Liu

CoreText

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1811: Ant Security Light-Year Lab'den Xingwei Lin

curl

İlgili sürüm: macOS Mojave

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek arabellek taşması sorunu giderildi.

CVE-2020-8285: xnynx

curl

İlgili sürüm: macOS Mojave

Etki: Bir saldırgan, geçerli gibi görünen sahte bir OCSP yanıtı sağlayabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-8286: anonim bir araştırmacı

DiskArbitration

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlı bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: DiskArbitration'da bir izin sorunu vardı. Ek sahiplik denetimleriyle bu sorun giderildi.

CVE-2021-1784: Offensive Security'den Csaba Fitzl (@theevilbit), anonim bir araştırmacı ve SensorFu'dan Mikko Kenttälä (@Turmio_)

FontParser

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1881: Qihoo 360'tan Hou JingYi (@hjy79425575), anonim bir araştırmacı, Ant Security Light-Year Lab'den Xingwei Lin ve Trend Micro'dan Mickey Jin

FontParser

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-27942: anonim bir araştırmacı

Foundation

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2021-1813: Cees Elzinga

ImageIO

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-1843: Baidu Security'den Ye Zhang

Intel Graphics Driver

İlgili sürüm: macOS Mojave

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-1805: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)

Intel Graphics Driver

İlgili sürüm: macOS Mojave

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2021-1806: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)

Intel Graphics Driver

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-1834: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)

Kernel

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2021-1860: @0xalsr

Kernel

İlgili sürüm: macOS Mojave

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1851: @0xalsr

Kernel

İlgili sürüm: macOS Mojave

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1840: Ant Group Tianqiong Security Lab'den Zuozhi Fan (@pattern_F_)

libxpc

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2021-30652: James Hutchins

libxslt

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.

CVE-2021-1875: OSS-Fuzz tarafından bulundu

NSRemoteView

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2021-1876: Google Chrome'dan Matthew Denton

Preferences

İlgili sürüm: macOS Mojave

Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2021-1739: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)

smbx

İlgili sürüm: macOS Mojave

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tamsayı taşması sorunu giderildi.

CVE-2021-1878: Cisco Talos'tan (talosintelligence.com) Aleksandar Nikolic

Tailspin

İlgili sürüm: macOS Mojave

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1868: Zoom Communications'dan Tim Michaud

tcpdump

İlgili sürüm: macOS Mojave

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-8037: anonim bir araştırmacı

Time Machine

İlgili sürüm: macOS Mojave

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2021-1839: Zoom Video Communications'dan Tim Michaud (@TimGMichaud) ve ECSC Group plc'den Gary Nield

Wi-Fi

İlgili sürüm: macOS Mojave

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1828: Ant Group Tianqiong Security Lab'den Zuozhi Fan (@pattern_F_)

wifivelocityd

İlgili sürüm: macOS Mojave

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

WindowServer

İlgili sürüm: macOS Mojave

Etki: Kötü amaçlı bir uygulama, kullanıcının kimlik bilgilerini güvenli metin alanlarından beklenmedik şekilde sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek Erişilebilirlik TCC izinlerindeki bir API sorunu giderildi.

CVE-2021-1873: anonim bir araştırmacı