Apple wydaje aktualizacje dla macOS Mojave i Catalina z ważnymi poprawkami bezpieczeństwa


Wraz z macOS 11.5 jest wypuszczany, pojawiły się aktualizacje zabezpieczeń zarówno dla systemu macOS Catalina, jak i Mojave. Zawarte poprawki dotyczą luk, które mogą prowadzić do uzyskania przez złośliwe aplikacje uprawnień administratora, wykonania dowolnego kodu z uprawnieniami jądra i nie tylko.

Istnieje ponad 20 poprawek bezpieczeństwa dla macOS Catalina i Mojave. Dla wielu użytkowników ryzyko tych problemów z bezpieczeństwem może być niskie, ale niektóre z nich są potencjalnie poważne, są to ważne aktualizacje do zainstalowania.

Na komputerze Mac wybierz Preferencje systemowe> Aktualizacja oprogramowania lub > Informacje o tym Macu> Aktualizacja oprogramowania, aby sprawdzić, czy aktualizacje są dla Ciebie gotowe.

Oto przegląd wszystkich poprawek bezpieczeństwa dla systemu macOS Catalina:

Jądro AMD

Dostępne dla: macOS Catalina

Reklama

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez poprawienie sprawdzania poprawności danych wejściowych.

CVE-2021-30805: ABC Research sro

Zestaw aplikacji

Dostępne dla: macOS Catalina

Zagrożenie: otwarcie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

Opis: naprawiono problem związany z ujawnianiem informacji przez usunięcie zagrożonego kodu.

CVE-2021-30790: hjy79425575 w ramach programu Trend Micro Zero Day Initiative

Audio

Dostępne dla: macOS Catalina

Zagrożenie: osoba atakująca lokalnie może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30781: tr3e

Bluetooth

Dostępne dla: macOS Catalina

Zagrożenie: złośliwa aplikacja może uzyskać uprawnienia administratora

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez poprawienie zarządzania stanem.

CVE-2021-30672: powiedzmy 2 ENKI

CoreAudio

Dostępne dla: macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku dźwiękowego może spowodować wykonanie dowolnego kodu

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez poprawienie zarządzania stanem.

CVE-2021-30775: JunDong Xie z rocznego laboratorium ochrony mrówek

CoreAudio

Dostępne dla: macOS Catalina

Zagrożenie: odtworzenie złośliwego pliku dźwiękowego może spowodować nieoczekiwane zamknięcie aplikacji

Opis: naprawiono błąd logiczny przez poprawienie sprawdzania poprawności.

CVE-2021-30776: JunDong Xie z rocznego laboratorium ochrony mrówek

CoreStorage Core

Dostępne dla: macOS Catalina

Zagrożenie: złośliwa aplikacja może uzyskać uprawnienia administratora

Opis: naprawiono błąd dotyczący wstrzykiwania, poprawiając weryfikację.

CVE-2021-30777: Tim Michaud(@TimGMichaud) z Zoom Video Communications i Gary Nield z ECSC Group plc

Tekst podstawowy

Dostępne dla: macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może spowodować wykonanie dowolnego kodu

Opis: naprawiono odczyt poza granicami, poprawiając weryfikację danych wejściowych.

CVE-2021-30789: Sunglin z zespołu Knownsec 404, Mickey Jin (@patch1t) z Trend Micro

Tekst podstawowy

Dostępne dla: macOS Catalina

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesu

Opis: naprawiono odczyt poza granicami, poprawiając weryfikację danych wejściowych.

CVE-2021-30733: Sunglin ze znanego 404

CVMS

Dostępne dla: macOS Catalina

Zagrożenie: złośliwa aplikacja może uzyskać uprawnienia administratora

Opis: naprawiono błąd zapisu poza granicami przez poprawienie sprawdzania granic.

CVE-2021-30780: Tim Michaud(@TimGMichaud) z Zoom Video Communications

dyld

Dostępne dla: macOS Catalina

Zagrożenie: proces piaskownicy może obejść ograniczenia piaskownicy

Opis: naprawiono błąd logiczny przez poprawienie sprawdzania poprawności.

CVE-2021-30768: Linus Henze (pinauten.de)

FontParser

Dostępne dla: macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może spowodować wykonanie dowolnego kodu

Opis: rozwiązano problem przepełnienia liczb całkowitych przez ulepszoną walidację danych wejściowych.

CVE-2021-30760: Sunglin zespołu Knownsec 404

FontParser

Dostępne dla: macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może spowodować wykonanie dowolnego kodu

Opis: naprawiono problem przepełnienia stosu, poprawiając weryfikację danych wejściowych.

CVE-2021-30759: hjy79425575 w ramach programu Zero Day Initiative firmy Trend Micro

FontParser

Dostępne dla: macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku tiff może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30788: tr3e współpracuje z Trend Micro Zero Day Initiative

ObrazIO

Dostępne dla: macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może spowodować wykonanie dowolnego kodu

Opis: naprawiono problem przepełnienia bufora, poprawiając sprawdzanie granic.

CVE-2021-30785: Mickey Jin (@patch1t) z Trend Micro, CFF z Topsec Alpha Team

Sterownik graficzny Intel

Dostępne dla: macOS Catalina

Zagrożenie: aplikacja może spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30787: Anonimowa współpraca z Trend Micro Zero Day Initiative

Sterownik graficzny Intel

Dostępne dla: macOS Catalina

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: naprawiono błąd zapisu poza granicami, poprawiając weryfikację danych wejściowych.

CVE-2021-30765: Liu Long z laboratorium ochrony mrówek w roku świetlnym

CVE-2021-30766: Liu Long z rocznego laboratorium ochrony mrówek

IOUSBHost Family

Dostępne dla: macOS Catalina

Zagrożenie: nieuprzywilejowana aplikacja może być w stanie przechwytywać urządzenia USB

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30731: UTM (@UTMapp)

Jądro

Dostępne dla: macOS Catalina

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: naprawiono błąd dotyczący podwójnego zwolnienia przez poprawienie zarządzania pamięcią.

CVE-2021-30703: anonimowy badacz

Jądro

Dostępne dla: macOS Catalina

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: naprawiono błąd logiczny przez poprawienie zarządzania stanem.

CVE-2021-30793: Fan Zuozhi (@pattern_F_) z Ant Security TianQiong Lab

UruchomUsługi

Dostępne dla: macOS Catalina

Zagrożenie: złośliwa aplikacja może wyrwać się ze swojej piaskownicy

Opis: ten błąd naprawiono przez poprawienie czyszczenia środowiska.

CVE-2021-30677: Ron Waisberg (@epsilan)

UruchomUsługi

Dostępne dla: macOS Catalina

Zagrożenie: proces piaskownicy może obejść ograniczenia piaskownicy

Opis: naprawiono błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2021-30783: Ron Waisberg (@epsilan)

Model we/wy

Dostępne dla: macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do odmowy usługi

Opis: naprawiono błąd logiczny przez poprawienie sprawdzania poprawności.

CVE-2021-30796: Mickey Jin (@patch1t) z Trend Micro

Piaskownica

Dostępne dla: macOS Catalina

Zagrożenie: złośliwa aplikacja może mieć dostęp do zastrzeżonych plików

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30782: Csaba Fitzl (@theevilbit) z ofensywnego bezpieczeństwa

WebKit

Dostępne dla: macOS Catalina

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może prowadzić do wykonania dowolnego kodu

Opis: naprawiono wiele problemów z uszkodzeniem pamięci przez poprawienie obsługi pamięci.

CVE-2021-30799: Siergiej Głazunow z Google Project Zero

Dodatkowe uznanie

configd

Dziękujemy za pomoc Csaba Fitzl (@theevilbit) z Offensive Security.

Podstawowe usługi

Dziękujemy za pomoc Zhongcheng Li (CK01).

Tekst podstawowy

Dziękujemy za pomoc Mickey Jin (@patch1t) z firmy Trend Micro.

Zgłaszający awarię

Chcielibyśmy podziękować za pomoc Yizhuo Wangowi z Group of Software Security In Progress (GOSSIP) na Shanghai Jiao Tong University.

crontab

Dziękujemy za pomoc Csaba Fitzl (@theevilbit) z Offensive Security.

IOKit

Dziękujemy za pomoc Jerzemu Nosence.

libxml2

Dziękujemy za pomoc.

Reflektor

Dziękujemy za pomoc Csaba Fitzl (@theevilbit) z Offensive Security.

FTC: Używamy automatycznych linków partnerskich do zarabiania pieniędzy. Jeszcze.


Sprawdź 9to5Mac na YouTube, aby uzyskać więcej informacji o Apple:



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

9to5Mac Happy Hour 348: recenzje iPhone’a 13 i iPada mini, wydany iOS 15, zakończenie próbnego epickiego

W tym tygodniu w Happy Hour Zac i Benjamin omawiają funkcje i dziwactwa ujawnione przez spadające recenzje iPhone'a 13 i rozważą osobisty urok...

Jak dostosować pasek zadań systemu Windows 11?

Jeśli zaktualizowałeś swój komputer z systemu Windows 10 do Windows 11, może się okazać, że pasek zadań nie jest tak konfigurowalny...

Recenzja gry Squid: zabójcza seria gier Netflixa jest hitem z zaskakujących powodów

Dla większości świata pieniądze są równoznaczne z przetrwaniem. Poza nielicznymi najbogatszymi, ludzie żyjący w krajach kapitalistycznych muszą planować swoje życie...
Advertisment

Chcesz być na bieżąco z najnowszymi wiadomościami?

Bardzo chcielibyśmy usłyszeć od Ciebie! Podaj swoje dane, a pozostaniemy w kontakcie. To takie proste!