Güvenlik Güncellemesi 2021-007 Catalina'nın güvenlik içeriği hakkında

Bu belgede Güvenlik Güncellemesi 2021-007 Catalina'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Güvenlik Güncellemesi 2021-007 Catalina

Yayınlanma tarihi: 25 Ekim 2021

AppKit

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30873: Computest Research Division'dan Thijs Alkemade

Giriş eklenme tarihi: 25 Mayıs 2022

AppleScript

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir AppleScript ikili dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

Audio

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2021-30907: Kunlun Lab'den Zweig

Bluetooth

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2021-30899: UC Riverside'dan Weiteng Chen, Zheng Zhang ve Zhiyun Qian, Didi Research America'dan Yu Wang

ColorSync

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulaması iyileştirilerek, ICC profillerinin işlenmesindeki bir bellek bozulması sorunu giderildi.

CVE-2021-30926: Jeremy Brown

Giriş eklenme tarihi: 25 Mayıs 2022

ColorSync

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: ICC profillerinin işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2021-30917: Google Project Zero'dan Alexandru-Vlad Niculae ve Mateusz Jurczyk

Continuity Camera

İlgili sürüm: macOS Catalina

Etki: Yerel bir saldırgan uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir denetimsiz biçim dizisi sorunu giderildi.

CVE-2021-30903: Hangzhou Dianzi Üniversitesinden Gongyu Ma

Giriş eklenme tarihi: 25 Mayıs 2022

CoreAudio

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir ses dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30834: Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30905: Trend Micro'dan Mickey Jin (@patch1t)

CoreGraphics

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir PDF'in işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-30919: Apple

FileProvider

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2021-30881: Qihoo 360 IceSword Lab'den Simon Huang (@HuangShaomang) ve pjf

iCloud

İlgili sürüm: macOS Catalina

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30906: Cees Elzinga

Giriş eklenme tarihi: 25 Mayıs 2022

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek birden fazla sınır dışında yazma sorunu giderildi.

CVE-2021-30922: RET2 Systems, Inc. şirketinden Jack Dates, Yinyi Wu (@3ndy1)

Giriş eklenme tarihi: 25 Mayıs 2022

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30824: Diverto'dan Antonio Zekic (@antoniozekic)

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek birden fazla sınır dışında yazma sorunu giderildi.

CVE-2021-30901: Ant Security TianQiong Lab'den Zuozhi Fan (@pattern_F_), RET2 Systems, Inc. şirketinden Jack Dates, Ant Security Light-Year Lab'den Liu Long ve Yinyi Wu (@3ndy1)

Giriş güncellenme tarihi: 25 Mayıs 2022

IOGraphics

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30821: Zoom Video Communications'dan Tim Michaud (@TimGMichaud)

Kernel

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30909: Kunlun Lab'den Zweig

Kernel

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30916: Kunlun Lab'den Zweig

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30910: Trend Micro'dan Mickey Jin (@patch1t)

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30911: Ant Security Light-Year Lab'den Rui Yang ve Xingwei Lin

SMB

İlgili sürüm: macOS Catalina

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30844: STAR Labs'den Peter Nguyen ve Vu Hoang

Giriş eklenme tarihi: 25 Mayıs 2022

SoftwareUpdate

İlgili sürüm: macOS Catalina

Etki: Ayrıcalığı olmayan bir uygulama NVRAM değişkenlerinde düzenleme yapabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30913: Tencent Security Xuanwu Lab'den Kirin (@Pwnrin) ve chenyuwang (@mzzzz__)

Giriş eklenme tarihi: 25 Mayıs 2022

SoftwareUpdate

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, kullanıcıların Anahtar Zinciri öğelerine erişebilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2021-30912: Tencent Security Xuanwu Lab'den Kirin (@Pwnrin) ve chenyuwang (@mzzzz__)

UIKit

İlgili sürüm: macOS Catalina

Etki: Aygıta fiziksel erişimi olan bir kişi, güvenli metin girişi alanındaki kullanıcı parolasının özelliklerini belirleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30915: Kostas Angelopoulos

xar

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması bir saldırganın rastgele dosyalara yazmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30833: NCC Group'tan Richard Warren

Giriş eklenme tarihi: 25 Mayıs 2022

zsh

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Bir devredilen izinler sorunu ek sınırlamalarla giderildi.

CVE-2021-30892: Microsoft'tan Jonathan Bar Or

Ek teşekkür listesi

iCloud

Ryan Pickren'e (ryanpickren.com) yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: