Om sikkerhedsindholdet i macOS Big Sur 11.4

I dette dokument beskrives sikkerhedsindholdet i macOS Big Sur 11.4.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Big Sur 11.4

AMD

Fås til: macOS Big Sur

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30678: Yu Wang fra Didi Research America

AMD

Fås til: macOS Big Sur

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30676: shrek_wzw

App Store

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2021-30688: Thijs Alkemade fra Computest Research Division

AppleScript

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30669: Yair Hoffman

Audio

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30707: hjy79425575, der arbejder med Trend Micros Zero Day Initiative

Audio

Fås til: macOS Big Sur

Effekt: Parsing af et skadeligt lydarkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30685: Mickey Jin (@patch1t) fra Trend Micro

Bluetooth

Fås til: macOS Big Sur

Effekt: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration

Beskrivelse: Et skadeligt program kan muligvis opnå rodrettigheder

CVE-2021-30672: say2 fra ENKI

Core Services

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2021-30681: Zhongcheng Li (CK01)

CoreAudio

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30686: Mickey Jin fra Trend Micro

CoreText

Fås til: macOS Big Sur

Effekt: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering

Beskrivelse: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse.

CVE-2021-30733: Sunglin fra Knownsec 404

CVE-2021-30753: Xingwei Lin fra Ant Security Light-Year Lab

Crash Reporter

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30727: Cees Elzinga

CVMS

Fås til: macOS Big Sur

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30724: Mickey Jin (@patch1t) fra Trend Micro

Dock

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis få adgang til en brugers opkaldshistorik

Beskrivelse: Et adgangsproblem er løst med forbedrede adgangsbegrænsninger.

CVE-2021-30673: Josh Parnham (@joshparnham)

FontParser

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30771: Mickey Jin (@patch1t) fra Trend Micro, CFF fra Topsec Alpha Team

FontParser

Fås til: macOS Big Sur

Effekt: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering

Beskrivelse: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

CVE-2021-30755: Xingwei Lin fra Ant Security Light-Year Lab

Graphics Drivers

Fås til: macOS Big Sur

Effekt: En hacker kan forårsage uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30684: Liu Long fra Ant Security Light-Year Lab

Graphics Drivers

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-30735: Jack Dates fra RET2 Systems, Inc. (@ret2systems), der arbejder med Trend Micros Zero Day Initiative

Heimdal

Fås til: macOS Big Sur

Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan forårsage Denial of Service-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

Fås til: macOS Big Sur

Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket kunne medføre afsløring af brugeroplysninger

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30687: Hou JingYi (@hjy79425575) fra Qihoo 360

ImageIO

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30700: Ye Zhang(@co0py_Cat) fra Baidu Security

ImageIO

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30701: Mickey Jin (@patch1t) fra Trend Micro og Ye Zhang fra Baidu Security

ImageIO

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt ASTC-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30705: Ye Zhang fra Baidu Security

ImageIO

Fås til: macOS Big Sur

Effekt: Problemet er løst ved forbedret kontrol

Beskrivelse: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger.

CVE-2021-30706: Anonym, der arbejder med Trend Micros Zero Day Initiative, Jzhu, der arbejder med Trend Micros Zero Day Initiative

Intel Graphics Driver

Fås til: macOS Big Sur

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Et out-of-bounds-læseproblem er løst ved at fjerne den sårbare kode.

CVE-2021-30719: En anonym programmør, der arbejder med Trend Micro Zero Day Initiative

Intel Graphics Driver

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-30728: Liu Long fra Ant Security Light-Year Lab

CVE-2021-30726: Yinyi Wu(@3ndy1) fra Qihoo 360 Vulcan Team

IOUSBHostFamily

Fås til: macOS Big Sur

Effekt: Problemet er løst ved forbedret kontrol

Beskrivelse: Et program uden privilegier kan muligvis overtage kontrollen med USB-enheder.

CVE-2021-30731: UTM (@UTMapp)

Kernel

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30704: En anonym programmør

Kernel

Fås til: macOS Big Sur

Effekt: Behandling af en skadelig besked kan medføre et DoS-angreb

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30715: National Cyber Security Centre (NCSC) i Storbritannien

Kernel

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2021-30736: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Big Sur

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2021-30739: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab

Kernel

Fås til: macOS Big Sur

Effekt: Et double free-problem er løst med forbedret hukommelseshåndtering

Beskrivelse: Et program kan muligvis køre vilkårlig kode med kernerettigheder.

CVE-2021-30703: en anonym programmør

Kext Management

Fås til: macOS Big Sur

Effekt: En lokal bruger kan indlæse usignerede kerneudvidelser

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30680: Csaba Fitzl (@theevilbit) fra Offensive Security

LaunchServices

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst ved forbedret rensning af miljøet.

CVE-2021-30677: Ron Waisberg (@epsilan)

Login Window

Fås til: macOS Big Sur

Effekt: En person med fysisk adgang til en Mac kan muligvis omgå log ind-vinduet

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30702: Jewel Lambert fra Original Spin, LLC.

Mail

Fås til: macOS Big Sur

Effekt: En hacker i en privilegeret netværksposition kan muligvis forvanske programstatus

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30696: Fabian Ising og Damian Poddebniak fra Münster University of Applied Sciences

MediaRemote

Fås til: macOS Big Sur

Effekt: Et fortrolighedsproblem i Afspiller nu blev løst ved hjælp af forbedrede tilladelser

Beskrivelse: En lokal hacker kan muligvis se oplysninger om Afspiller nu fra låseskærmen.

CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)

Model I/O

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2021-30723: Mickey Jin (@patch1t) fra Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t) fra Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t) fra Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t) fra Trend Micro

Model I/O

Fås til: macOS Big Sur

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30725: Mickey Jin (@patch1t) fra Trend Micro

Model I/O

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30746: Mickey Jin (@patch1t) fra Trend Micro

Model I/O

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2021-30693: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro

Model I/O

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30695: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro

Model I/O

Fås til: macOS Big Sur

Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30708: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro

Model I/O

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30709: Mickey Jin (@patch1t) fra Trend Micro

NSOpenPanel

Fås til: macOS Big Sur

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

Fås til: macOS Big Sur

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-36226

CVE-2020-36227

CVE-2020-36223

CVE-2020-36224

CVE-2020-36225

CVE-2020-36221

CVE-2020-36228

CVE-2020-36222

CVE-2020-36230

CVE-2020-36229

PackageKit

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan overskrive vilkårlige arkiver

Beskrivelse: Et problem med stivalideringslogik for links, der ikke kan ændres, er løst ved hjælp af forbedret rensning af stier.

CVE-2021-30738: Qingyang Chen fra Topsec Alpha Team og Csaba Fitzl (@theevilbit) fra Offensive Security

Sandbox

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis omgå visse indstillinger for fortrolighed

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2021-30751: Csaba Fitzl (@theevilbit) fra Offensive Security

Security

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse i ASN.1-dekoderen er løst ved at fjerne den sårbare kode.

CVE-2021-30737: xerub

smbx

Fås til: macOS Big Sur

Effekt: En hacker med en privilegeret netværksposition kan udføre et DoS-angreb

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30716: Aleksandar Nikolic fra Cisco Talos

smbx

Fås til: macOS Big Sur

Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30717: Aleksandar Nikolic fra Cisco Talos

smbx

Fås til: macOS Big Sur

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2021-30721: Aleksandar Nikolic fra Cisco Talos

smbx

Fås til: macOS Big Sur

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2021-30722: Aleksandar Nikolic fra Cisco Talos

smbx

Fås til: macOS Big Sur

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30712: Aleksandar Nikolic fra Cisco Talos

Software Update

Fås til: macOS Big Sur

Effekt: En person med fysisk adgang til en Mac kan muligvis omgå log ind-vinduet under en softwareopdatering

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30668: Syrus Kimiagar og Danilo Paffi Monteiro

SoftwareUpdate

Fås til: macOS Big Sur

Effekt: En bruger uden rettigheder kan muligvis ændre begrænsede indstillinger

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30718: SiQian Wei fra ByteDance Security

TCC

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis sende uautoriserede Apple-begivenheder til Finder

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2021-30671: Ryan Bell (@iRyanBell)

TCC

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.

CVE-2021-30713: En anonym programmør

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et problem med iframe-elementer fra forskellige kilder blev løst med forbedret sporing af sikkerhedsoprindelser.

CVE-2021-30744: Dan Hite fra jsontop

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-21779: Marcin Towalski fra Cisco Talos

WebKit

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30682: Prakash (@ 1lastBr3ath)

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30689: En anonym programmør

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30749: En anonym programmør og mipu94 fra SEFCOM lab, ASU., der arbejder med Trend Micros Zero Day Initiative

CVE-2021-30734: Jack Dates fra RET2 Systems, Inc. (@ret2systems), der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: macOS Big Sur

Effekt: Et skadeligt websted kan muligvis have adgang til fortrolige porte på vilkårlige servere

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30720: David Schütz (@xdavidhu)

WebRTC

Fås til: macOS Big Sur

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2021-23841: Tavis Ormandy fra Google

CVE-2021-30698: Tavis Ormandy fra Google

Yderligere anerkendelser

App Store

Vi vil gerne takke Thijs Alkemade fra Computest Research Division for hjælpen.

CoreCapture

Vi vil gerne takke Zuozhi Fan (@pattern_F_) fra Ant-financial TianQiong Security Lab for hjælpen.

ImageIO

Vi vil gerne takke Jzhu, der arbejder med Trend Micros Zero Day Initiative, og en anonym programmør for hjælpen.

Mail Drafts

Vi vil gerne takke Lauritz Holtmann (@_lauritz_) for hjælpen.

WebKit

Vi vil gerne takke Chris Salls (@salls) fra Makai Security for hjælpen.