Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Big Sur 11.5
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.5.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Big Sur 11.5
AMD Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2021-30805: ABC Research s.r.o
Analytics
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αποκτήσει πρόσβαση στα δεδομένα ανάλυσης
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
AppKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2021-30790: hjy79425575 σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
App Store
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις απορρήτου
Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2021-31006: Csaba Fitzl (@theevilbit) της Offensive Security
Audio
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30781: tr3e
AVEVideoEncoder
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30748: George Nosenko
CoreAudio
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30775: JunDong Xie του Ant Security Light-Year Lab
CoreAudio
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου ενδέχεται να προκαλέσει απρόσμενο τερματισμό λειτουργίας της εφαρμογής
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2021-30776: JunDong Xie του Ant Security Light-Year Lab
CoreGraphics
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
CVE-2021-30786: ryuzaki
CoreServices
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30772: Zhongcheng Li (CK01)
CoreServices
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
CVE-2021-30783: Ron Waisberg (@epsilan)
CoreStorage
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2021-30777: Tim Michaud (@TimGMichaud) της Zoom Video Communications και Gary Nield της ECSC Group plc
CoreText
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2021-30789: Mickey Jin (@patch1t) της Trend Micro, Sunglin της Knownsec 404 team
Crash Reporter
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2021-30774: Yizhuo Wang του Group of Software Security In Progress (G.O.S.S.I.P) στο Shanghai Jiao Tong University
CVMS
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2021-30780: Tim Michaud (@TimGMichaud) της Zoom Video Communications
dyld
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2021-30768: Linus Henze (pinauten.de)
Family Sharing
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε δεδομένα που σχετίζονται με τους λογαριασμούς που χρησιμοποιεί ο χρήστης για την Οικογενειακή κοινή χρήση
Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2021-30817: Csaba Fitzl (@theevilbit) της Offensive Security
Find My
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να έχει δυνατότητα πρόσβασης στα δεδομένα της Εύρεσης
Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2021-30804: Csaba Fitzl (@theevilbit) της Offensive Security, Wojciech Reguła (@_r3ggi) της SecuRing
FontParser
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2021-30760: Sunglin της ομάδας Knownsec 404 team
FontParser
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου tiff μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30788: tr3e σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
FontParser
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης στοίβας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2021-30759: hjy79425575 σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
Identity Services
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση στις πρόσφατες επαφές ενός χρήστη
Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit) της Offensive Security
ImageIO
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) της Baidu Security
ImageIO
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2021-30785: CFF της Topsec Alpha Team, Mickey Jin (@patch1t) της Trend Micro
Intel Graphics Driver
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή σε μνήμη πυρήνα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30787: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Intel Graphics Driver
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2021-30766: Liu Long του Ant Security Light-Year Lab
CVE-2021-30765: Yinyi Wu (@3ndy1) της ομάδας Qihoo 360 Vulcan, Liu Long του Ant Security Light-Year Lab
IOKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδεχομένως να μπορεί να εκτελέσει κώδικα στο Chip ασφαλείας T2 Apple
Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.
CVE-2021-30784: George Nosenko
Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30793: Zuozhi Fan (@pattern_F_) του Ant Security TianQiong Lab
Kext Management
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2021-30778: Csaba Fitzl (@theevilbit) της Offensive Security
LaunchServices
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης περιβάλλοντος.
CVE-2021-30677: Ron Waisberg (@epsilan)
libxml2
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-3518
Model I/O
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2021-30796: Mickey Jin (@patch1t) της Trend Micro
Model I/O
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2021-30792: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Model I/O
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2021-30791: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Networking
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επίσκεψη σε μια κακόβουλη ιστοσελίδα μπορεί να προκαλέσει άρνηση υπηρεσίας από το σύστημα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Sandbox
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30782: Csaba Fitzl (@theevilbit) της Offensive Security
Security
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2021-31004: Csaba Fitzl (@theevilbit) της Offensive Security
TCC
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις απορρήτου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2021-30798: Mickey Jin (@patch1t) της Trend Micro σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
WebKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.
CVE-2021-30758: Christoph Guttandin της Media Codings
WebKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2021-30795: Sergei Glazunov του Google Project Zero
WebKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2021-30797: Ivan Fratric του Google Project Zero
WebKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2021-30799: Sergei Glazunov του Google Project Zero
Επιπλέον αναγνώριση
configd
Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.
CoreText
Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) της Trend Micro για τη βοήθειά του.
crontabs
Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.
Power Management
Θα θέλαμε να ευχαριστήσουμε τους Pan ZhenPeng(@Peterpan0927) του Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), Lisandro Ubiedo (@_lubiedo) του Stratosphere Lab
Sandbox
Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.
Spotlight
Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.
sysdiagnose
Θα θέλαμε να ευχαριστήσουμε τους Carter Jones (linkedin.com/in/carterjones/) και Tim Michaud (@TimGMichaud) της Zoom Video Communications για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.