Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Big Sur 11.4

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.4.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Big Sur 11.4

AMD

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30678: Yu Wang της Didi Research America

AMD

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30676: shrek_wzw

App Store

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30688: Thijs Alkemade της Computest Research Division

AppleScript

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30669: Yair Hoffman

Audio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30707: hjy79425575 σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Audio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30685: Mickey Jin (@patch1t) της Trend Micro

Bluetooth

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα πρόβλημα αλλοίωσης της μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης

Περιγραφή: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

CVE-2021-30672: say2 από ENKI

Core Services

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2021-30681: Zhongcheng Li (CK01)

CoreAudio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30686: Mickey Jin της Trend Micro

CoreText

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής

Περιγραφή: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να οδηγήσει στην αποκάλυψη της μνήμης διεργασιών.

CVE-2021-30733: Sunglin από την ομάδα Knownsec 404

CVE-2021-30753: Xingwei Lin του Ant Security Light-Year Lab

Crash Reporter

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30727: Cees Elzinga

CVMS

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30724: Mickey Jin (@patch1t) της Trend Micro

Dock

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση στο ιστορικό κλήσεων κάποιου χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2021-30673: Josh Parnham (@joshparnham)

FontParser

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30771: Mickey Jin (@patch1t) της Trend Micro, CFF της Topsec Alpha Team

FontParser

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής

Περιγραφή: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να οδηγήσει στην αποκάλυψη της μνήμης διεργασιών

CVE-2021-30755: Xingwei Lin του Ant Security Light-Year Lab

Graphics Drivers

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30684: Liu Long του Ant Security Light-Year Lab

Graphics Drivers

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30735: Jack Dates της RET2 Systems, Inc. (@ret2systems) σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Heimdal

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να προκαλέσει άρνηση υπηρεσίας συστήματος ή πιθανώς να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή θα μπορούσε να εκτελέσει αυθαίρετο κώδικα οδηγώντας σε παραβίαση των πληροφοριών χρήστη

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30687: Hou JingYi (@hjy79425575) της Qihoo 360

ImageIO

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30700: Ye Zhang (@co0py_Cat) της Baidu Security

ImageIO

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30701: Mickey Jin (@patch1t) της Trend Micro και Ye Zhang της Baidu Security

ImageIO

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ASTC μπορεί να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30705: Ye Zhang της Baidu Security

ImageIO

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους

Περιγραφή: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη.

CVE-2021-30706: Ανώνυμος σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro, Jzhu σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Intel Graphics Driver

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα ζήτημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με την αφαίρεση του ευάλωτου κώδικα.

CVE-2021-30719: ένας ανώνυμος ερευνητής σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Intel Graphics Driver

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30728: Liu Long του Ant Security Light-Year Lab

CVE-2021-30726: Yinyi Wu (@3ndy1) της Qihoo 360 Vulcan Team

IOUSBHostFamily

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους

Περιγραφή: Μια εφαρμογή χωρίς προνόμια ενδέχεται να μπορεί να καταγράψει συσκευές USB.

CVE-2021-30731: UTM (@UTMapp)

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30704: ανώνυμος ερευνητής

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30715: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.

CVE-2021-30736: Ian Beer του Google Project Zero

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30739: Zuozhi Fan (@pattern_F_) του Ant Group Tianqiong Security Lab

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα πρόβλημα σφάλματος τύπου «double free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης

Περιγραφή: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα.

CVE-2021-30703: ανώνυμος ερευνητής

Kext Management

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να φορτώσει επεκτάσεις πυρήνα χωρίς υπογραφή

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30680: Csaba Fitzl (@theevilbit) της Offensive Security

LaunchServices

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης περιβάλλοντος.

CVE-2021-30677: Ron Waisberg (@epsilan)

Login Window

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε Mac ενδέχεται να μπορεί να παρακάμψει το παράθυρο σύνδεσης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30702: Jewel Lambert της Original Spin, LLC.

Mail

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να παραποιήσει την κατάσταση εφαρμογής

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30696: Fabian Ising και Damian Poddebniak του Münster University of Applied Sciences

MediaRemote

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα πρόβλημα απορρήτου στην οθόνη «Παίζει τώρα» αντιμετωπίστηκε με βελτιωμένα δικαιώματα

Περιγραφή: Ένας τοπικός εισβολέας ενδέχεται να έχει τη δυνατότητα να δει πληροφορίες της οθόνης «Παίζει τώρα» από την οθόνη κλειδώματος.

CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2021-30723: Mickey Jin (@patch1t) της Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t) της Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t) της Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t) της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30725: Mickey Jin (@patch1t) της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30746: Mickey Jin (@patch1t) της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-30693: Mickey Jin (@patch1t) και Junzhi Lu (@pwn0rz) της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30695: Mickey Jin (@patch1t) και Junzhi Lu (@pwn0rz) της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30708: Mickey Jin (@patch1t) και Junzhi Lu (@pwn0rz) της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30709: Mickey Jin (@patch1t) της Trend Micro

NSOpenPanel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-36226

CVE-2020-36227

CVE-2020-36223

CVE-2020-36224

CVE-2020-36225

CVE-2020-36221

CVE-2020-36228

CVE-2020-36222

CVE-2020-36230

CVE-2020-36229

PackageKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία

Περιγραφή: Ένα πρόβλημα με τη λογική επικύρωσης διαδρομών για σκληρούς συνδέσμους αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης διαδρομών.

CVE-2021-30738: Qingyang Chen της Topsec Alpha Team και Csaba Fitzl (@theevilbit) της Offensive Security

Sandbox

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη προστασία δεδομένων.

CVE-2021-30751: Csaba Fitzl (@theevilbit) της Offensive Security

Security

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πιστοποιητικού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης στον αποκωδικοποιητή ASN.1 αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2021-30737: xerub

smbx

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30716: Aleksandar Nikolic της Cisco Talos

smbx

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30717: Aleksandar Nikolic της Cisco Talos

smbx

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30721: Aleksandar Nikolic της Cisco Talos

smbx

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2021-30722: Aleksandar Nikolic της Cisco Talos

smbx

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30712: Aleksandar Nikolic της Cisco Talos

Software Update

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε Mac ενδέχεται να μπορεί να παρακάμψει το παράθυρο σύνδεσης κατά την ενημέρωση λογισμικού

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30668: Syrus Kimiagar και Danilo Paffi Monteiro

SoftwareUpdate

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας χρήστης χωρίς δικαιώματα ενδέχεται να μπορεί να τροποποιήσει περιορισμένες ρυθμίσεις

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30718: SiQian Wei της ByteDance Security

TCC

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να στείλει μη εξουσιοδοτημένα συμβάντα της Apple στο Finder

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-30671: Ryan Bell (@iRyanBell)

TCC

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30713: ανώνυμος ερευνητής

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα μεταξύ προελεύσεων με στοιχεία iframe αντιμετωπίστηκε με βελτιωμένο εντοπισμό των προελεύσεων ασφάλειας.

CVE-2021-30744: Dan Hite της jsontop

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-21779: Marcin Towalski της Cisco Talos

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30682: Prakash (@1lastBr3ath)

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30689: ανώνυμος ερευνητής

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30749: ανώνυμος ερευνητής και mipu94 του εργαστηρίου SEFCOM, ASU. σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

CVE-2021-30734: Jack Dates της RET2 Systems, Inc. (@ret2systems) σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να έχει δυνατότητα πρόσβασης σε περιορισμένες θύρες σε τυχαίους διακομιστές

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30720: David Schütz (@xdavidhu)

WebRTC

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2021-23841: Tavis Ormandy της Google

CVE-2021-30698: Tavis Ormandy της Google

Επιπλέον αναγνώριση

App Store

Θα θέλαμε να ευχαριστήσουμε τον Thijs Alkemade της Computest Research Division για τη βοήθειά του.

CoreCapture

Θα θέλαμε να ευχαριστήσουμε τον Zuozhi Fan (@pattern_F_) του Ant-financial TianQiong Security Lab για τη βοήθειά του.

ImageIO

Θα θέλαμε να ευχαριστήσουμε τον Jzhu που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της Trend Micro και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Mail Drafts

Θα θέλαμε να ευχαριστήσουμε τον Lauritz Holtmann (@_lauritz_) για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Chris Salls (@salls) της Makai Security για τη βοήθειά του.