Güvenlik Güncellemesi 2021-008 Catalina'nın güvenlik içeriği hakkında

Bu belgede Güvenlik Güncellemesi 2021-008 Catalina'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Güvenlik Güncellemesi 2021-008 Catalina

Yayınlanma tarihi: 13 Aralık 2021

Archive Utility

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30950: @gorelics

Bluetooth

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30931: UC Riverside'dan Weiteng Chen, Zheng Zhang ve Zhiyun Qian, Didi Research America'dan Yu Wang

Bluetooth

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30935: anonim bir araştırmacı

ColorSync

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: ICC profillerinin işlenmesindeki bir bellek bozulması sorunu, giriş doğrulaması iyileştirilerek giderildi.

CVE-2021-30942: Google Project Zero'dan Mateusz Jurczyk

CoreAudio

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir ses dosyasını çalmak rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30958: Ant Security Light-Year Lab'den JunDong Xie

CoreAudio

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2021-30959: Ant Security Light-Year Lab'den JunDong Xie

CVE-2021-30961: Ant Security Light-Year Lab'den JunDong Xie

CVE-2021-30963: Ant Security Light-Year Lab'den JunDong Xie

Giriş güncellenme tarihi: 25 Mayıs 2022

Crash Reporter

İlgili sürüm: macOS Catalina

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30945: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)

Graphics Drivers

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2021-30977: RET2 Systems, Inc. şirketinden Jack Dates

Help Viewer

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir URL'nin işlenmesi diskteki bir dosyadan beklenmedik şekilde JavaScript yürütülmesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2021-30969: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)

ImageIO

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30939: Trend Micro'dan Mickey Jin (@patch1t), Cisco Talos'tan Jaewon Min, Ant Security Light-Year Lab'den Rui Yang ve Xingwei Lin

Giriş güncellenme tarihi: 25 Mayıs 2022

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2021-30981: Ant Security Light-Year Lab'den Liu Long, RET2 Systems, Inc. şirketinden Jack Dates

Giriş güncellenme tarihi: 25 Mayıs 2022

IOUSBHostFamily

İlgili sürüm: macOS Catalina

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2021-30982: UC Riverside'dan Weiteng Chen, Zheng Zhang ve Zhiyun Qian, Didi Research America'dan Yu Wang

Kernel

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2021-30927: Pangu Lab'den Xinru Chi

CVE-2021-30980: Pangu Lab'den Xinru Chi

Kernel

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.

CVE-2021-30937: Google Project Zero'dan Sergei Glazunov

Kernel

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-30949: Google Project Zero'dan Ian Beer

LaunchServices

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30990: BreakPoint.sh'den Ron Masas

LaunchServices

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30976: Tencent Security Xuanwu Lab'den chenyuwang (@mzzzz__) ve Kirin (@Pwnrin)

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-30929: Ant Security Light-Year Lab'den Rui Yang ve Xingwei Lin

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2021-30979: Trend Micro'dan Mickey Jin (@patch1t)

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2021-30940: Ant Security Light-Year Lab'den Rui Yang ve Xingwei Lin

CVE-2021-30941: Ant Security Light-Year Lab'den Rui Yang ve Xingwei Lin

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-30973: Baidu Security'den Ye Zhang (@co0py_Cat)

Model I/O

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-30971: Baidu Security'den Ye Zhang (@co0py_Cat)

Preferences

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2021-30995: Trend Micro'dan Mickey Jin (@patch1t), Mickey Jin (@patch1t)

Sandbox

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama belirli Gizlilik tercihlerini atlayabilir

Açıklama: Sabit bağlantı davranışıyla ilgili bir doğrulama sorunu, korumalı alan sınırlamaları iyileştirilerek giderildi.

CVE-2021-30968: Offensive Security'den Csaba Fitzl (@theevilbit)

Script Editor

İlgili sürüm: macOS Catalina

Etki: Kötü niyetle oluşturulmuş bir OSAX betik eklemesi, Gatekeeper kontrollerini atlayabilir ve korumalı alan sınırlamalarından kaçabilir

Açıklama: Bu sorun, bir betik sözlüğü görüntülenirken JavaScript yürütülmesi engellenerek giderildi.

CVE-2021-30975: Ryan Pickren (ryanpickren.com)

TCC

İlgili sürüm: macOS Catalina

Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30767: @gorelics

TCC

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama Endpoint Security istemcileri için servis reddine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-30965: Offensive Security'den Csaba Fitzl (@theevilbit)

Wi-Fi

İlgili sürüm: macOS Catalina

Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-30938: Pangu Lab'den Xinru Chi

Ek teşekkür listesi

Admin Framework

Aarhus University'den Simon Andersen'e ve Pico Mitchell'a yardımları için teşekkür ederiz.

ColorSync

Google Project Zero'dan Mateusz Jurczyk'e yardımı için teşekkür ederiz.

Contacts

Minchan Park'a (03stin) yardımı için teşekkür ederiz.

Kernel

Bar-Ilan University's Center for Research in Applied Cryptography and Cyber Security'den Amit Klein'a yardımı için teşekkür ederiz.

Model I/O

Ant-Financial Light-Year Security Lab'den Rui Yang ile Xingwei Lin'e yardımları için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: