Güvenlik Güncellemesi 2021-004 Catalina'nın güvenlik içeriği hakkında

Bu belgede Güvenlik Güncellemesi 2021-004 Catalina'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Güvenlik Güncellemesi 2021-004 Catalina

AMD Kernel

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30805: ABC Research s.r.o

AppKit

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın açılması uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Savunmasız kod kaldırılarak, bilgilerin açığa çıkması sorunu giderildi.

CVE-2021-30790: Trend Micro'nun Zero Day Initiative programından hjy79425575

AppleMobileFileIntegrity

İlgili sürüm: macOS Catalina

Etki: Yerel bir saldırgan hassas bilgileri okuyabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30811: Compartir ile çalışan anonim bir araştırmacı

Audio

İlgili sürüm: macOS Catalina

Etki: Yerel bir saldırgan uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30781: tr3e

Bluetooth

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30672: ENKI'den say2

CoreAudio

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30775: Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sona ermesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30776: Ant Security Light-Year Lab'den JunDong Xie

CoreServices

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30772: Zhongcheng Li (CK01)

CoreStorage

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.

CVE-2021-30777: Zoom Video Communications'dan Tim Michaud (@TimGMichaud) ve ECSC Group plc'den Gary Nield

CoreText

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30789: Knownsec 404 Team'den Sunglin, Trend Micro'dan Mickey Jin (@patch1t)

CoreText

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30733: Knownsec 404'dan Sunglin

Crash Reporter

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30774: Shanghai Jiao Tong University'deki Group of Software Security In Progress'ten (G.O.S.S.I.P) Yizhuo Wang

CVMS

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-30780: Zoom Video Communications'dan Tim Michaud (@TimGMichaud)

dyld

İlgili sürüm: macOS Catalina

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30768: Linus Henze (pinauten.de)

FontParser

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2021-30760: Knownsec 404 Team'den Sunglin

FontParser

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek yığın taşması sorunu giderildi.

CVE-2021-30759: Trend Micro'nun Zero Day Initiative programından hjy79425575

FontParser

İlgili sürüm: macOS Catalina

Etki: Kötü amaçla geliştirilmiş bir tiff dosyasının işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30788: Trend Micro'nun Zero Day Initiative programından tr3e

ImageIO

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2021-30785: Trend Micro'dan Mickey Jin (@patch1t), Topsec Alpha Team CFF'i

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30787: Trend Micro'nun Zero Day Initiative programından anonim bir kişi

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-30765: Qihoo 360 Vulcan Team'den Yinyi Wu (@3ndy1), Ant Security Light-Year Lab'den Liu Long

CVE-2021-30766: Ant Security Light-Year Lab'den Liu Long

IOKit

İlgili sürüm: macOS Catalina

Etki: Yerel bir saldırgan Apple T2 Güvenlik Çipinde kod çalıştırabilir

Açıklama: Mantık iyileştirilerek birden fazla sorun giderildi.

CVE-2021-30784: George Nosenko

IOUSBHostFamily

İlgili sürüm: macOS Catalina

Etki: Ayrıcalığı olmayan bir uygulama USB aygıtlarını yakalayabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30731: UTM (@UTMapp)

Kernel

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.

CVE-2021-30703: anonim bir araştırmacı

Kernel

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30793: Ant Security TianQiong Lab'den Zuozhi Fan (@pattern_F_)

LaunchServices

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Ortam temizliği iyileştirilerek bu sorun giderildi.

CVE-2021-30677: Ron Waisberg (@epsilan)

LaunchServices

İlgili sürüm: macOS Catalina

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2021-30783: Ron Waisberg (@epsilan)

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30791: Trend Micro'nun Zero Day Initiative programından anonim bir kişi

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-30792: Trend Micro'nun Zero Day Initiative programından anonim bir kişi

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30796: Trend Micro'dan Mickey Jin (@patch1t)

Sandbox

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, sınırlanmış dosyalara erişebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30782: Offensive Security'den Csaba Fitzl (@theevilbit)

WebKit

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2021-30799: Google Project Zero'dan Sergei Glazunov

Ek teşekkür listesi

configd

Offensive Security'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

CoreServices

Zhongcheng Li'ye (CK01) yardımı için teşekkür ederiz.

CoreText

Trend Micro'dan Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

Crash Reporter

Shanghai Jiao Tong University'deki Group of Software Security In Progress'ten (G.O.S.S.I.P) Yizhuo Wang'e yardımı için teşekkür ederiz.

crontabs

Offensive Security'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

IOKit

George Nosenko'ya yardımı için teşekkür ederiz.

libxml2

[...] adlı kişiye yardımı için teşekkür ederiz.

Power Management

Alibaba Security Pandora Lab'den Pan ZhenPeng (@Peterpan0927), Csaba Fitzl (@theevilbit), Stratosphere Lab'den Lisandro Ubiedo'ya (@_lubiedo) teşekkür ederiz

Spotlight

Offensive Security'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

sysdiagnose

Zoom Video Communications'dan Carter Jones (linkedin.com/in/carterjones/) ve Tim Michaud'a (@TimGMichaud) yardımları için teşekkür ederiz.