Informationen zum Sicherheitsinhalt von macOS Big Sur 11.6
In diesem Dokument wird der Sicherheitsinhalt von macOS Big Sur 11.6 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
macOS Big Sur 11.6
AppleMobileFileIntegrity
Verfügbar für: macOS Big Sur
Auswirkung: Lokale Angreifer:innen können möglicherweise vertrauliche Informationen lesen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30811: Ein anonymer Forscher in Zusammenarbeit mit Compartir
Apple Neural Engine
Verfügbar für: macOS Big Sur
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30838: proteas wang
CoreAudio
Verfügbar für: macOS Big Sur
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30834: JunDong Xie von Ant Security Light-Year Lab
CoreGraphics
Verfügbar für: macOS Big Sur
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2021-30928: Mickey Jin (@patch1t) von Trend Micro
CoreGraphics
Verfügbar für: macOS Big Sur
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten PDF-Datei kann zur Ausführung willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2021-30860: The Citizen Lab
Core Telephony
Verfügbar für: macOS Big Sur
Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen. Apple war ein Bericht bekannt, demzufolge dieses Problem zum Zeitpunkt der Veröffentlichung aktiv ausgenutzt wurde.
Beschreibung: Ein Problem mit der Deserialisierung wurde durch eine verbesserte Überprüfung behoben.
CVE-2021-31010: Citizen Lab und Google Project Zero
CUPS
Verfügbar für: macOS Big Sur
Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.
Beschreibung: Es bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.
CVE-2021-30827: Ein anonymer Forscher
CUPS
Verfügbar für: macOS Big Sur
Auswirkung: Ein lokaler Benutzer kann willkürliche Dateien als Root lesen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30828: Ein anonymer Forscher
CUPS
Verfügbar für: macOS Big Sur
Auswirkung: Ein lokaler Benutzer kann willkürliche Dateien ausführen.
Beschreibung: Ein Problem mit der URI-Analyse wurde mit einer verbesserten Analyse behoben.
CVE-2021-30829: Ein anonymer Forscher
curl
Verfügbar für: macOS Big Sur
Auswirkung: curl gab unter Umständen vertrauliche interne Informationen über ein Klartext-Netzwerkprotokoll an den Server weiter.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2021-22925: Red Hat Product Security
CVMS
Verfügbar für: macOS Big Sur
Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30832: Mickey Jin (@patch1t) von Trend Micro
FontParser
Verfügbar für: macOS Big Sur
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten DFONT-Datei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30841: Xingwei Lin von Ant Security Light-Year Lab
CVE-2021-30842: Xingwei Lin von Ant Security Light-Year Lab
CVE-2021-30843: Xingwei Lin von Ant Security Light-Year Lab
Gatekeeper
Verfügbar für: macOS Big Sur
Auswirkung: Eine schadhafte Anwendung kann Gatekeeper-Überprüfungen umgehen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30853: Gordon Long (@ethicalhax) von Box, Inc.
Graphics Drivers
Verfügbar für: macOS Big Sur
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2021-30933: Jack Dates von RET2 Systems, Inc.
ImageIO
Verfügbar für: macOS Big Sur
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30835: Ye Zhang von Baidu Security
ImageIO
Verfügbar für: macOS Big Sur
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30847: Mike Zhang von Pangu Lab
Kernel
Verfügbar für: macOS Big Sur
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30830: Zweig von Kunlun Lab
Kernel
Verfügbar für: macOS Big Sur
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2021-30865: Zweig von Kunlun Lab
Kernel
Verfügbar für: macOS Big Sur
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
CVE-2021-30857: Zweig von Kunlun Lab
Kernel
Verfügbar für: macOS Big Sur
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30859: Apple
LaunchServices
Verfügbar für: macOS Big Sur
Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30864: Ron Hass (@ronhass7) von Perception Point, Ron Waisberg (@epsilan)
libexpat
Verfügbar für: macOS Big Sur
Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen.
Beschreibung: Dieses Problem wurde durch die Aktualisierung von Expat auf Version 2.4.1 behoben.
CVE-2013-0340: Ein anonymer Forscher
Login Window
Verfügbar für: macOS Big Sur
Auswirkung: Eine Person mit Zugriff auf einen Host-Mac könnte bei einer gesperrten Instanz von macOS das Anmeldefenster in Remote Desktop umgehen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30813: Benjamin Berger von BBetterTech LLC, Aaron Hines von AHDesigns916, Peter Goedtkindt von Informatique-MTF SA
Model I/O
Verfügbar für: macOS Big Sur
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann Speicherinhalte offenlegen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2021-30819
Preferences
Verfügbar für: macOS Big Sur
Auswirkung: Eine Anwendung kann möglicherweise auf zugriffsbeschränkte Dateien zugreifen.
Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.
CVE-2021-30855: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Verfügbar für: macOS Big Sur
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann die Datenschutzeinstellungen umgehen.
Beschreibung: Das Problem wurde durch verbesserte Berechtigungslogik behoben.
CVE-2021-30925: Csaba Fitzl (@theevilbit) von Offensive Security
Sandbox
Verfügbar für: macOS Big Sur
Auswirkung: Ein Benutzer kann Zugriff auf geschützte Teile des Dateisystems erhalten.
Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2021-30850: Ein anonymer Forscher
SMB
Verfügbar für: macOS Big Sur
Auswirkung: Ein lokaler Benutzer kann möglicherweise den Kernelspeicher auslesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2021-30845: Peter Nguyen Vu Hoang von STAR Labs
SMB
Verfügbar für: macOS Big Sur
Auswirkung: Ein entfernter Angreifer kann möglicherweise ein Speicherleck verursachen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30844: Peter Nguyen Vu Hoang von STAR Labs
WebKit
Verfügbar für: macOS Big Sur
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30858: Ein anonymer Forscher
Zusätzliche Danksagung
APFS
Wir möchten uns bei Koh M. Nakagawa von FFRI Security, Inc. für die Unterstützung bedanken.
App Support
Wir möchten uns bei @CodeColorist, einem anonymen Forscher und 漂亮鼠 von 赛博回忆录, für die Unterstützung bedanken.
CoreML
Wir möchten uns bei hjy79425575 von der Trend Micro Zero Day Initiative für die Unterstützung bedanken.
CUPS
Wir möchten uns bei einem anonymen Forscher und Nathan Nye von WhiteBeam Security für die Unterstützung bedanken.
Kernel
Wir möchten uns bei Anthony Steinhauser vom Safeside-Projekt von Google für die Unterstützung bedanken.
Sandbox
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.
smbx
Wir möchten uns bei Zhongcheng Li (CK01) für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.