Güvenlik Güncellemesi 2021-005 Catalina'nın güvenlik içeriği hakkında

Bu belgede Güvenlik Güncellemesi 2021-005 Catalina'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Güvenlik Güncellemesi 2021-005 Catalina

Yayınlanma tarihi: 13 Eylül 2021

CoreGraphics

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir PDF'in işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2021-30860: The Citizen Lab

CoreServices

İlgili sürüm: macOS Catalina

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2021-30783: Anonim bir araştırmacı, Perception Point'ten Ron Hass (@ronhass7)

Giriş eklenme tarihi: 20 Eylül 2021

Core Telephony

İlgili sürüm: macOS Catalina

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir. Apple, sürüm yayınlandığı sırada bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek deserializasyon sorunu giderildi.

CVE-2021-31010: Citizen Lab ve Google Project Zero

Giriş eklenme tarihi: 25 Mayıs 2022

CUPS

İlgili sürüm: macOS Catalina

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2021-30827: WhiteBeam Security, Inc. şirketinden Nathan Nye

Giriş eklenme tarihi: 20 Eylül 2021, Giriş güncellenme tarihi: 25 Mayıs 2022

CUPS

İlgili sürüm: macOS Catalina

Etki: Yerel bir kullanıcı, rastgele dosyaları kök olarak okuyabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30828: WhiteBeam Security, Inc. şirketinden Nathan Nye

Giriş eklenme tarihi: 20 Eylül 2021, Giriş güncellenme tarihi: 25 Mayıs 2022

CUPS

İlgili sürüm: macOS Catalina

Etki: Yerel bir kullanıcı rastgele dosya yürütebilir

Açıklama: Ayrıştırma işlemi iyileştirilerek bir URI ayrıştırma sorunu giderildi.

CVE-2021-30829: WhiteBeam Security, Inc. şirketinden Nathan Nye

Giriş eklenme tarihi: 20 Eylül 2021, Giriş güncellenme tarihi: 25 Mayıs 2022

curl

İlgili sürüm: macOS Catalina

Etki: curl, potansiyel olarak, bir temiz metin protokolü kullanarak sunucuya ait hassas dahili bilgileri açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek arabellek taşması sorunu giderildi.

CVE-2021-22925: Red Hat Product Security

Giriş eklenme tarihi: 20 Eylül 2021, Giriş güncellenme tarihi: 25 Mayıs 2022

CVMS

İlgili sürüm: macOS Catalina

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30832: Trend Micro'dan Mickey Jin (@patch1t)

Giriş eklenme tarihi: 20 Eylül 2021

FontParser

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir dfont dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30841: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-30842: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-30843: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 20 Eylül 2021

ImageIO

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30835: Baidu Security'den Ye Zhang

CVE-2021-30847: Pangu Lab'den Mike Zhang

Giriş eklenme tarihi: 20 Eylül 2021

Kernel

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30830: Kunlun Lab'den Zweig

Giriş eklenme tarihi: 20 Eylül 2021

Kernel

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30865: Kunlun Lab'den Zweig

Giriş eklenme tarihi: 20 Eylül 2021

Kernel

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir NFS ağ paylaşımının bağlanması sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2020-29622: Certified Secure'dan Jordy Zomer

Giriş eklenme tarihi: 20 Eylül 2021

Kernel

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2021-30857: Red Team X @Meta'dan Manish Bhatt, Kunlun Lab'den Zweig

Giriş eklenme tarihi: 20 Eylül 2021, Giriş güncellenme tarihi: 25 Mayıs 2022

Kernel

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2021-30859: Apple

Giriş eklenme tarihi: 20 Eylül 2021

libexpat

İlgili sürüm: macOS Catalina

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: expat 2.4.1 sürümüne güncellenerek bu sorun giderildi.

CVE-2013-0340: Anonim bir araştırmacı

Giriş eklenme tarihi: 20 Eylül 2021

Preferences

İlgili sürüm: macOS Catalina

Etki: Bir uygulama, sınırlanmış dosyalara erişebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2021-30855: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)

Giriş eklenme tarihi: 20 Eylül 2021

Sandbox

İlgili sürüm: macOS Catalina

Etki: Bir kullanıcı, dosya sisteminin korumalı bölümlerine erişebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2021-30850: Anonim bir araştırmacı

Giriş eklenme tarihi: 20 Eylül 2021

SMB

İlgili sürüm: macOS Catalina

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30844: STAR Labs'den Peter Nguyen ve Vu Hoang

Giriş eklenme tarihi: 20 Eylül 2021

TCC

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.

CVE-2021-30713: Anonim bir araştırmacı

Giriş eklenme tarihi: 20 Eylül 2021

Ek teşekkür listesi

Bluetooth

ENKI'dan say2'ya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 20 Eylül 2021

CoreML

Trend Micro'nun Zero Day Initiative programından hjy79425575'e yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 20 Eylül 2021

CUPS

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 20 Eylül 2021

Kernel

Google'ın Safeside projesinden Anthony Steinhauser'e yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 20 Eylül 2021

smbx

Zhongcheng Li'ye (CK01) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 20 Eylül 2021

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: