Om sikkerhedsindholdet i macOS Big Sur 11.3

I dette dokument beskrives sikkerhedsindholdet i macOS Big Sur 11.3.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Big Sur 11.3

APFS

Fås til: macOS Big Sur

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1853: Gary Nield fra ECSC Group plc og Tim Michaud(@TimGMichaud) fra Zoom Video Communications

AppleMobileFileIntegrity

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et problem med validering af kodesignatur er løst med forbedret kontrol.

CVE-2021-1849: Siguza

Apple Neural Engine

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) og Wish Wu (吴潍浠) fra Ant Group Tianqiong Security Lab

Archive Utility

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1810: Rasmus Sten (@pajp) fra F-Secure

Audio

Fås til: macOS Big Sur

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2021-1808: JunDong Xie fra Ant Security Light-Year Lab

CFNetwork

Fås til: macOS Big Sur

Effekt: Behandling af skadeligt webindhold kan medføre afsløring af følsomme brugeroplysninger.

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2021-1857: En anonym programmør

Compression

Fås til: macOS Big Sur

Effekt: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering

Beskrivelse: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode.

CVE-2021-30752: Ye Zhang(@co0py_Cat) fra Baidu Security

CoreAudio

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-30664: JunDong Xie fra Ant Security Light-Year Lab

CoreAudio

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1846: JunDong Xie fra Ant Security Light-Year Lab

CoreAudio

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2021-1809: JunDong Xie fra Ant Security Light-Year Lab

CoreFoundation

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2021-30659: Thijs Alkemade fra Computest

CoreGraphics

Fås til: macOS Big Sur

Effekt: Åbning af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2021-1847: Xuwei Liu fra Purdue University

CoreText

Fås til: macOS Big Sur

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1811: Xingwei Lin fra Ant Security Light-Year Lab

curl

Fås til: macOS Big Sur

Effekt: En skadelig server kan muligvis afsløre aktive tjenester

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-8284: Marian Rehak

curl

Fås til: macOS Big Sur

Effekt: En hacker kan muligvis angive et svigagtigt OCSP-svar, der ser gyldigt ud

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-8286: En anonym programmør

curl

Fås til: macOS Big Sur

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret inputvalidering.

CVE-2020-8285: xnynx

DiskArbitration

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Der var et problem med tilladelser i DiskArbitration. Dette blev rettet med ekstra kontrol af ejerskab.

CVE-2021-1784: Mikko Kenttälä (@Turmio_) fra SensorFu, Csaba Fitzl (@theevilbit) fra Offensive Security og en anonym programmør

FaceTime

Fås til: macOS Big Sur

Effekt: Hvis lyden slås fra for et CallKit-opkald, mens der ringes, aktiveres funktionen til at slå lyden fra muligvis ikke

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1872: Siraj Zaneer fra Facebook

FontParser

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1881: En anonym programmør, Xingwei Lin fra Ant Security Light-Year Lab, Mickey Jin fra Trend Micro og Hou JingYi (@hjy79425575) fra Qihoo 360

Foundation

Fås til: macOS Big Sur

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2021-1813: Cees Elzinga

Heimdal

Fås til: macOS Big Sur

Effekt: Behandling af servermeddelelser med skadelig kode kan føre til beskadigelse af heap

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Fås til: macOS Big Sur

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1880: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-30653: Ye Zhang fra Baidu Security

CVE-2021-1814: Ye Zhang fra Baidu Security, Mickey Jin og Qi Sun fra Trend Micro og Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1843: Ye Zhang fra Baidu Security

ImageIO

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1885: CFF fra Topsec Alpha Team

ImageIO

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-1858: Mickey Jin fra Trend Micro

ImageIO

Fås til: macOS Big Sur

Effekt: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering

Beskrivelse: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode.

CVE-2021-30743: Ye Zhang (@co0py_Cat) fra Baidu Security, CFF fra Topsec Alpha Team, Jzhu, der arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab, CFF fra Topsec Alpha Team, Jeonghoon Shin (@singi21a) fra THEORI, der arbejder med Trend Micros Zero Day Initiative

Installer

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne

Beskrivelse: Problemet er løst ved forbedret behandling af arkivmetadata.

CVE-2021-30658: Wojciech Reguła (@_r3ggi) fra SecuRing

Intel Graphics Driver

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-1841: Jack Dates fra RET2 Systems, Inc.

CVE-2021-1834: ABC Research s.r.o., der arbejder med Trend Micros Zero Day Initiative

Kernel

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2021-1860: @0xalsr

Kernel

Fås til: macOS Big Sur

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2021-1840: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab

Kernel

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1851: @0xalsr

Kernel

Fås til: macOS Big Sur

Effekt: Kopierede arkiver har muligvis ikke de forventede arkivtilladelser

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2021-1832: En anonym programmør

Kernel

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30660: Alex Plaskett

libxpc

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2021-30652: James Hutchins

libxslt

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap

Beskrivelse: Et double free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2021-1875: Fundet af OSS-Fuzz

Login Window

Fås til: macOS Big Sur

Effekt: Et skadeligt program med rodrettigheder kan muligvis få adgang til en brugers private oplysninger

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2021-1824: Wojciech Reguła (@_r3ggi) fra SecuRing

Notes

Fås til: macOS Big Sur

Effekt: Indhold i låste noter er muligvis blevet låst op uventet

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1859: Syed Ali Shuja (@SyedAliShuja) fra Colour King Pvt. Ltd

NSRemoteView

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-1876: Matthew Denton fra Google Chrome

Preferences

Fås til: macOS Big Sur

Effekt: En lokal bruger kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2021-1815: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

Fås til: macOS Big Sur

Effekt: Et skadeligt websted kan muligvis spore brugere via indstillingsstatus i en buffer

Beskrivelse: Der var et problem med at afgøre, om bufferen var til stede. Problemet er løst med forbedret logik.

CVE-2021-1861: Konstantinos Solomos fra University of Illinois i Chicago

Safari

Fås til: macOS Big Sur

Effekt: Et skadeligt websted kan muligvis gennemtvinge unødvendige netværksforbindelser for at hente favoritsymbolerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1855: Håvard Mikkelsen Ottestad fra HASMAC AS

SampleAnalysis

Fås til: macOS Big Sur

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1868: Tim Michaud fra Zoom Communications

Sandbox

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis få adgang til brugerens seneste kontakter

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2021-30750: Csaba Fitzl (@theevilbit) fra Offensive Security

smbx

Fås til: macOS Big Sur

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2021-1878: Aleksandar Nikolic fra Cisco Talos (talosintelligence.com)

System Preferences

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30657: Cedric Owens (@cedowens)

TCC

Fås til: macOS Big Sur

Effekt: En skadelig ikke-sandboxed app på et system med eksternt login aktiveret kan muligvis omgå præferencer for fortrolighed

Beskrivelse: Dette problem blev løst ved at tilføje en ny mulighed for eksternt login, hvor fuld diskadgang til Secure Shell-sessioner er tilvalgt.

CVE-2021-30856: Csaba Fitzl (@theevilbit) fra Offensive Security, Andy Grant fra Zoom Video Communications, Thijs Alkemade fra Computest Research Division, Wojciech Reguła fra SecuRing (wojciechregula.blog), Cody Thomas fra SpecterOps, Mickey Jin fra Trend Micro

tcpdump

Fås til: macOS Big Sur

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-8037: En anonym programmør

Time Machine

Fås til: macOS Big Sur

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2021-1839: Tim Michaud (@TimGMichaud) fra Zoom Video Communications og Gary Nield fra ECSC Group plc

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2021-1825: Alex Camboe fra Aon’s Cyber Solutions

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-1817: zhunki

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-1826: En anonym programmør

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2021-1820: André Bargull

WebKit Storage

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-30661: yangkang(@dnpushme) fra 360 ATA

WebRTC

Fås til: macOS Big Sur

Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-7463: Megan2013678

Wi-Fi

Fås til: macOS Big Sur

Effekt: Et program kan medføre pludselig programlukning eller skrivning af kernehukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2021-1828: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab

Wi-Fi

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2021-1829: Tielei Wang fra Pangu Lab

Wi-Fi

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2021-30655: Gary Nield fra ECSC Group plc og Tim Michaud(@TimGMichaud) fra Zoom Video Communications og Wojciech Reguła (@_r3ggi) fra SecuRing

Wi-Fi

Fås til: macOS Big Sur

Effekt: Et logikproblem er løst gennem forbedret statusadministration

Beskrivelse: Et bufferoverløb kan muligvis medføre kørsel af vilkårlig kode.

CVE-2021-1770: Jiska Classen (@naehrdine) fra Secure Mobile Networking Lab, TU Darmstadt

WindowServer

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis uventet afsløre en brugers legitimationsoplysninger fra sikre tekstfelter

Beskrivelse: Et API-problem i TCC-tilladelser for tilgængelighed blev løst via forbedret statushåndtering.

CVE-2021-1873: En anonym programmør

Yderligere anerkendelser

AirDrop

Vi vil gerne takke @maxzks for hjælpen.

CoreAudio

Vi vil gerne takke en anonym programmør for hjælpen.

CoreCrypto

Vi vil gerne takke Andy Russon fra Orange Group for hjælpen.

File Bookmark

Vi vil gerne takke en anonym programmør for hjælpen.

Foundation

Vi vil gerne takke CodeColorist fra Ant-Financial LightYear Labs for hjælpen.

Kernel

Vi vil gerne takke Antonio Frighetto fra Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) fra SensorFu og Proteas for hjælpen.

Mail

Vi vil gerne takke Petter Flink, SecOps fra Bonnier News og en anonym programmør for hjælpen.

Safari

Vi vil gerne takke Sahil Mehra (Nullr3x) og Shivam Kamboj Dattana (Sechunt3r) for hjælpen.

Security

Vi vil gerne takke Xingwei Lin fra Ant Security Light-Year Lab og john (@nyan_satan) for hjælpen.

sysdiagnose

Vi vil gerne takke Tim Michaud (@TimGMichaud) fra Leviathan for hjælpen.

WebKit

Vi vil gerne takke Emilio Cobos Álvarez fra Mozilla for hjælpen.

WebSheet

Vi vil gerne takke Patrick Clover for hjælpen.