Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Big Sur 11.6.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.6.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Big Sur 11.6.2

Archive Utility

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30950: @gorelics

Bluetooth

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30931: Weiteng Chen, Zheng Zhang και Zhiyun Qian του UC Riverside και Yu Wang της Didi Research America

Bluetooth

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30935: ένας ανώνυμος ερευνητής

ColorSync

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης στην επεξεργασία των προφίλ ICC αντιμετωπίστηκε με βελτιωμένη επαλήθευση δεδομένων εισαγωγής.

CVE-2021-30942: Mateusz Jurczyk του Google Project Zero

CoreAudio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30957: JunDong Xie του Ant Security Light-Year Lab

CoreAudio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30962: JunDong Xie του Ant Security Light-Year Lab

CoreAudio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30959: JunDong Xie του Ant Security Light-Year Lab

CVE-2021-30961: JunDong Xie του Ant Security Light-Year Lab

CVE-2021-30963: JunDong Xie του Ant Security Light-Year Lab

CoreAudio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30958: JunDong Xie του Ant Security Light-Year Lab

Crash Reporter

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30945: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

File Provider

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2021-31007: Csaba Fitzl (@theevilbit) της Offensive Security

FontParser

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-31013: Daniel Lim Wee Soong του STAR Labs

Game Center

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε πληροφορίες σχετικά με τις επαφές ενός χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Graphics Drivers

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2021-30977: Jack Dates της RET2 Systems, Inc.

Help Viewer

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης διεύθυνσης URL ενδέχεται να προκαλέσει απρόσμενη εκτέλεση του JavaScript από κάποιο αρχείο στον δίσκο

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30969: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

ImageIO

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30939: Mickey Jin (@patch1t) του Trend Micro, Jaewon Min του Cisco Talos, Rui Yang και Xingwei Lin του Ant Security Light-Year Lab

Intel Graphics Driver

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2021-30981: Liu Long του Ant Security Light-Year Lab, Jack Dates της RET2 Systems, Inc.

IOUSBHostFamily

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αλλοίωση σωρού

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30982: Weiteng Chen, Zheng Zhang και Zhiyun Qian του UC Riverside και Yu Wang της Didi Research America

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30927: Xinru Chi του Pangu Lab

CVE-2021-30980: Xinru Chi του Pangu Lab

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30937: Sergei Glazunov του Google Project Zero

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30949: Ian Beer του Google Project Zero

LaunchServices

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30990: Ron Masas του BreakPoint.sh

LaunchServices

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30976: chenyuwang (@mzzzz__) και Kirin (@Pwnrin) του Tencent Security Xuanwu Lab

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30929: Rui Yang και Xingwei Lin του Ant Security Light-Year Lab

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30979: Mickey Jin (@patch1t) της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30940: Rui Yang και Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-30941: Rui Yang και Xingwei Lin του Ant Security Light-Year Lab

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30973: Ye Zhang (@co0py_Cat) της Baidu Security

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30971: Ye Zhang (@co0py_Cat) της Baidu Security

Preferences

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2021-30995: Mickey Jin (@patch1t) της Trend Micro, Mickey Jin (@patch1t)

Sandbox

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα επαλήθευσης σχετιζόμενο με τη συμπεριφορά των σκληρών συνδέσμων αντιμετωπίστηκε με βελτιωμένους περιορισμούς του sandbox.

CVE-2021-30968: Csaba Fitzl (@theevilbit) της Offensive Security

Sandbox

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση στα αρχεία ενός χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2021-30947: Csaba Fitzl (@theevilbit) της Offensive Security

Sandbox

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30946: @gorelics και Ron Masas της BreakPoint.sh

Script Editor

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη προσθήκη σεναρίου OSAX ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper και τους περιορισμούς του sandbox

Περιγραφή: Το πρόβλημα αυτό αντιμετωπίστηκε με την απενεργοποίηση της εκτέλεσης του JavaScript κατά την προβολή ενός λεξικού scripting.

CVE-2021-30975: Ryan Pickren (ryanpickren.com)

SMB

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng του STAR Labs

TCC

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30767: @gorelics

TCC

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30970: Jonathan Bar Or της Microsoft

TCC

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση παροχής υπηρεσίας σε πελάτες Endpoint Security

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30965: Csaba Fitzl (@theevilbit) της Offensive Security

Wi-Fi

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30938: Xinru Chi του Pangu Lab

Επιπλέον αναγνώριση

Admin Framework

Θα θέλαμε να ευχαριστήσουμε τον Simon Andersen του Πανεπιστημίου του Aarhus και τον Pico Mitchell για τη βοήθειά τους.

Bluetooth

Θα θέλαμε να ευχαριστήσουμε τον Haram Park του Korea University για τη βοήθειά του.

ColorSync

Θα θέλαμε να ευχαριστήσουμε τον Mateusz Jurczyk του Google Project Zero για τη βοήθειά του.

Contacts

Θα θέλαμε να ευχαριστήσουμε τον Minchan Park (03stin) για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Amit Klein του Center for Research in Applied Cryptography and Cyber Security του Bar-Ilan University για τη βοήθειά του.

Model I/O

Θα θέλαμε να ευχαριστήσουμε τους Rui Yang και Xingwei Lin του Ant Security Light-Year Lab για τη βοήθειά τους.