Om sikkerhedsindholdet i macOS Monterey 12.0.1

I dette dokument beskrives sikkerhedsindholdet i macOS Monterey 12.0.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Monterey 12.0.1

Udgivet 25. oktober 2021

AppKit

Fås til: Mac Pro (2013 og nyere), MacBook Air (primo 2015 og nyere), MacBook Pro (primo 2015 og nyere), Mac mini (ultimo 2014 og nyere), iMac (ultimo 2015 og nyere), MacBook (primo 2016 og nyere), iMac Pro (2017 og nyere)

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30873: Thijs Alkemade fra Computest

AppleScript

Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

App Store

Effekt: Et skadeligt program kan muligvis få adgang til lokale brugeres Apple‑id'er

Beskrivelse: Et adgangsproblem er løst med forbedrede adgangsbegrænsninger.

CVE-2021-30994: Sergii Kryvoblotskyi fra MacPaw Inc.

Post tilføjet 25. maj 2022

Audio

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2021-30907: Zweig fra Kunlun Lab

Bluetooth

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2021-30899: Weiteng Chen, Zheng Zhang og Zhiyun Qian fra UC Riverside og Yu Wang fra Didi Research America

Bluetooth

Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-30931: Weiteng Chen, Zheng Zhang og Zhiyun Qian fra UC Riverside og Yu Wang fra Didi Research America

Post tilføjet 18. november 2021

bootp

Effekt: En enhed kan muligvis spores passivt via enhedens Wi-Fi MAC-adresse

Beskrivelse: Et problem med brugeranonymitet er løst ved at fjerne den udsendende MAC-adresse.

CVE-2021-30866: Fabien Duchêne fra UCLouvain (Belgien)

Post tilføjet 18. november 2021

ColorSync

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af ICC-profiler. Problemet er løst ved forbedret inputvalidering.

CVE-2021-30917: Alexandru-Vlad Niculae og Mateusz Jurczyk fra Google Project Zero

Continuity Camera

Effekt: En lokal hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med en streng med ukontrolleret format er løst med forbedret inputvalidering.

CVE-2021-30903: En anonym programmør

Post opdateret 25. maj 2022

CoreAudio

Effekt: Behandling af et skadeligt arkiv kan afsløre brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30905: Mickey Jin (@patch1t) fra Trend Micro

CoreGraphics

Effekt: Behandling af et skadeligt PDF-dokument kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30919

Directory Utility

Effekt: Et skadeligt program kan muligvis få adgang til lokale brugeres Apple‑id'er

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-9846: Wojciech Reguła (@_r3ggi)

Post tilføjet 31. marts 2022

FileProvider

Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med godkendelse af input er løst med forbedret hukommelsesbehandling.

CVE-2021-30881: Simon Huang (@HuangShaomang) og pjf fra IceSword Lab of Qihoo 360

File System

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927) fra Alibaba Security

Post tilføjet 18. november 2021

FontParser

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30831: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 18. november 2021

FontParser

Effekt: Behandling af et skadeligt dfont-arkiv kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30840: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 18. november 2021

Foundation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2021-30852: Yinyi Wu (@3ndy1) fra Ant Security Light-Year Lab

Post tilføjet 18. november 2021

Game Center

Effekt: Et skadeligt program kan muligvis få adgang til oplysninger om en brugers kontakter

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30895: Denis Tokarev

Game Center

Effekt: Et skadeligt program kan muligvis læse en brugers spildata

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30896: Denis Tokarev

Graphics Drivers

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2021-30933: Jack Dates fra RET2 Systems, Inc.

Post tilføjet 31. marts 2022

iCloud

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30906: Cees Elzinga

iCloud Photo Library

Effekt: Et skadeligt program kan muligvis få adgang til billedmetadata uden at skulle have tilladelse til at tilgå billeder

Beskrivelse: Problemet blev løst ved forbedret godkendelse.

CVE-2021-30867: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 18. november 2021

ImageIO

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2021-30814: hjy79425575

Post tilføjet 18. november 2021

Intel Graphics Driver

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere out-of-bounds-skriveproblemer blev løst via forbedret kontrol af grænser.

CVE-2021-30922: Jack Dates fra RET2 Systems, Inc., Yinyi Wu (@3ndy1)

Post tilføjet 31. marts 2022

Intel Graphics Driver

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30824: Antonio Zekic (@antoniozekic) fra Diverto

Intel Graphics Driver

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere out-of-bounds-skriveproblemer blev løst via forbedret kontrol af grænser.

CVE-2021-30901: Zuozhi Fan (@pattern_F_) fra Ant Security TianQiong Lab, Yinyi Wu (@3ndy1) fra Ant Security Light-Year Lab, Jack Dates fra RET2 Systems, Inc.

IOGraphics

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30821: Tim Michaud (@TimGMichaud) fra Zoom Video Communications

IOMobileFrameBuffer

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30883: En anonym programmør

Kernel

Effekt: En ekstern hacker kan forårsage pludselig genstart af en enhed

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret statushåndtering.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) fra Effective og Alexey Katkov (@watman27)

Post tilføjet 18. november 2021

Kernel

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-30886: @0xalsr

Kernel

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30909: Zweig fra Kunlun Lab

Kernel

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30916: Zweig fra Kunlun Lab

LaunchServices

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30864: Ron Hass (@ronhass7) fra Perception Point

Login Window

Effekt: En person med adgang til en værts-Mac kan muligvis omgå log ind-vinduet i Remote Desktop for en låst forekomst af macOS

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2021-30813: Benjamin Berger fra BBetterTech LLC, Peter Goedtkindt fra Informatique-MTF S.A., en anonym programmør

Post opdateret 25. maj 2022

Managed Configuration

Effekt: En bruger med en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-31011: Michal Moravec fra Logicworks, s.r.o.

Post tilføjet 16. september 2022

Messages

Effekt: En brugers beskeder kan muligvis fortsætte med at synkronisere, efter at brugeren er logget af iMessage

Beskrivelse: Et synkroniseringsproblem er løst ved forbedret tilstandsvalidering.

CVE-2021-30904: Reed Meseck fra IBM

Post tilføjet 18. november 2021

Model I/O

Effekt: Behandling af et skadeligt arkiv kan afsløre brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30910: Mickey Jin (@patch1t) fra Trend Micro

Model I/O

Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30911: Rui Yang og Xingwei Lin fra Ant Security Light-Year Lab

NetworkExtension

Effekt: En VPN-konfiguration kan installeres af en app uden brugertilladelse

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2021-30874: Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)

Post tilføjet 18. november 2021

Sandbox

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30808: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 18. november 2021

Sandbox

Effekt: En lokal hacker kan muligvis læse følsomme oplysninger

Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.

CVE-2021-30920: Csaba Fitzl (@theevilbit) fra Offensive Security

Security

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2021-31004: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 31. marts 2022

SMB

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng fra STAR Labs

Post tilføjet 16. september 2022

SMB

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2021-30868: Peter Nguyen Vu Hoang fra STAR Labs

SoftwareUpdate

Effekt: Et skadeligt program kan opnå adgang til en brugers nøgleringselementer

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2021-30912: Kirin (@Pwnrin) og chenyuwang (@mzzzz__) fra Tencent Security Xuanwu Lab

SoftwareUpdate

Effekt: Et program uden privilegier kan muligvis redigere NVRAM-variabler

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30913: Kirin (@Pwnrin) og chenyuwang (@mzzzz__) fra Tencent Security Xuanwu Lab

Post opdateret 25. maj 2022

UIKit

Effekt: En person med fysisk adgang til en enhed kan muligvis fastslå karakteristika ved en brugers adgangskode i et sikkert tekstindtastningsfelt

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Effekt: Deaktivering af "Bloker al fjernindhold" gælder muligvis ikke for alle typer fjernindhold

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-31005: Jonathan Austin fra Wells Fargo, Attila Soki

Post tilføjet 31. marts 2022

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2021-31008

Post tilføjet 31. marts 2022

WebKit

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Det var et problem i specifikationen for API'en for ressourcetiming. Specifikationen er blevet opdateret, og den opdaterede specifikation er implementeret.

CVE-2021-30897: en anonym programmør

Post tilføjet 18. november 2021

WebKit

Effekt: Et besøg på et skadeligt websted kan afsløre en brugers browserdata

Beskrivelse: Problemet blev løst med yderligere begrænsninger på CSS-sammensætning.

CVE-2021-30884: en anonym programmør

Post tilføjet 18. november 2021

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2021-30818: Amar Menezes (@amarekano) fra Zon8Research

Post tilføjet 18. november 2021

WebKit

Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30836: Peter Nguyen Vu Hoang fra STAR Labs

Post tilføjet 18. november 2021

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30846: Sergei Glazunov fra Google Project Zero

Post tilføjet 18. november 2021

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30849: Sergei Glazunov fra Google Project Zero

Post tilføjet 18. november 2021

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30848: Sergei Glazunov fra Google Project Zero

Post tilføjet 18. november 2021

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.

CVE-2021-30851: Samuel Groß fra Google Project Zero

Post tilføjet 18. november 2021

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-30809: en anonym programmør

Post tilføjet 18. november 2021

WebKit

Effekt: En hacker i en privilegeret netværksposition kan muligvis omgå HSTS

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30823: David Gullasch fra Recurity Labs

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til uventet overtrædelse af sikkerhedspolitikken for indhold

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) fra Suma Soft Pvt. Ltd.

WebKit

Effekt: Et skadeligt website, der benytter rapporter om sikkerhedspolitik for indhold, kan muligvis lække oplysninger via omdirigerende adfærd

Beskrivelse: Et problem med lækage af oplysninger blev håndteret.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2021-30889: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab

WebKit

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30861: Wojciech Reguła (@_r3ggi), Ryan Pickren (ryanpickren.com)

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30890: en anonym programmør

WebRTC

Effekt: Hackere kan muligvis spore brugere via deres IP-adresse

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30930: Oguz Kırat, Matthias Keller (m-keller.com)

Post tilføjet 18. november 2021, opdateret 16. september 2022

Windows Server

Effekt: En lokal hacker kan muligvis se skrivebordet for den bruger, der tidligere var logget ind, fra skærmen Hurtigt brugerskift

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2021-30908: ASentientBot

xar

Effekt: Udpakning af et skadeligt arkiv kan give en hacker mulighed for at skrive vilkårlige arkiver

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30833: Richard Warren fra NCC Group

zsh

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: En fejl i nedarvede tilladelser blev løst ved yderligere begrænsninger.

CVE-2021-30892: Jonathan Bar Or fra Microsoft

Yderligere anerkendelser

APFS

Vi vil gerne takke Koh M. Nakagawa fra FFRI Security, Inc. for hjælpen.

AppleScript

Vi vil gerne takke Jeremy Brown for hjælpen.

Post tilføjet 31. marts 2022

App Support

Vi vil gerne takke en anonym programmør, 漂亮鼠 fra 赛博回忆录 for hjælpen.

Bluetooth

Vi vil gerne takke say2 fra ENKI for hjælpen.

bootp

Vi vil gerne takke Alexander Burke (alexburke.ca) for hjælpen.

Post tilføjet 31. marts 2022

CUPS

Vi vil gerne takke Nathan Nye fra WhiteBeam Security for hjælpen.

Post opdateret 31. marts 2022

iCloud

Vi vil gerne takke Ryan Pickren (ryanpickren.com) for hjælpen.

Kernel

Vi vil gerne takke Anthony Steinhauser fra Googles Safeside-projekt og Joshua Baums fra Informatik Baums for hjælpen.

Post opdateret 18. november 2021

Mail

Vi vil gerne takke Fabian Ising og Damian Poddebniak fra Münster University of Applied Sciences for hjælpen.

Managed Configuration

Vi vil gerne takke Michal Moravec fra Logicworks, s.r.o. for hjælpen.

Setup Assistant

Vi vil gerne takke David Schütz (@xdavidhu) for hjælpen.

Post tilføjet 18. november 2021

smbx

Vi vil gerne takke Zhongcheng Li (CK01) for hjælpen.

UIKit

Vi vil gerne takke Jason Rendel fra Diligent for hjælpen.

Post tilføjet 18. november 2021

WebKit

Vi vil gerne takke Ivan Fratric fra Google Project Zero, Pavel Gromadchuk, Nikhil Mittal (@c0d3G33k) og Matthias Keller (m-keller.com) for deres hjælp.

Post opdateret 25. maj 2022

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 03. november 2023