Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Big Sur 11.5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.5.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Big Sur 11.5

Κυκλοφόρησε στις 21 Ιουλίου 2021

AMD Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30805: ABC Research s.r.o

Analytics

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αποκτήσει πρόσβαση στα δεδομένα ανάλυσης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου, 2021, ενημερώθηκε στις 25 Μαΐου, 2022

AppKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2021-30790: hjy79425575 σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

App Store

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2021-31006: Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

Audio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30781: tr3e

AVEVideoEncoder

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30748: George Nosenko

CoreAudio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30775: JunDong Xie του Ant Security Light-Year Lab

CoreAudio

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου ενδέχεται να προκαλέσει απρόσμενο τερματισμό λειτουργίας της εφαρμογής

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30776: JunDong Xie του Ant Security Light-Year Lab

CoreGraphics

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2021-30786: ryuzaki

CoreServices

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30772: Zhongcheng Li (CK01)

CoreServices

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2021-30783: Ron Waisberg (@epsilan)

CoreStorage

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30777: Tim Michaud (@TimGMichaud) της Zoom Video Communications και Gary Nield της ECSC Group plc

CoreText

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30789: Mickey Jin (@patch1t) της Trend Micro, Sunglin της Knownsec 404 team

Crash Reporter

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30774: Yizhuo Wang του Group of Software Security In Progress (G.O.S.S.I.P) στο Shanghai Jiao Tong University

CVMS

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30780: Tim Michaud (@TimGMichaud) της Zoom Video Communications

dyld

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30768: Linus Henze (pinauten.de)

Family Sharing

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε δεδομένα που σχετίζονται με τους λογαριασμούς που χρησιμοποιεί ο χρήστης για την Οικογενειακή κοινή χρήση

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2021-30817: Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

Find My

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να έχει δυνατότητα πρόσβασης στα δεδομένα της Εύρεσης

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2021-30804: Csaba Fitzl (@theevilbit) της Offensive Security, Wojciech Reguła (@_r3ggi) της SecuRing

Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2022 και ενημερώθηκε στις 2 Μαΐου 2023

FontParser

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2021-30760: Sunglin της ομάδας Knownsec 404 team

FontParser

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου tiff μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30788: tr3e σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

FontParser

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης στοίβας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30759: hjy79425575 σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Identity Services

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση στις πρόσφατες επαφές ενός χρήστη

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση ενημερώθηκε στις 18 Νοεμβρίου 2021

ImageIO

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) της Baidu Security

ImageIO

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2021-30785: CFF της Topsec Alpha Team, Mickey Jin (@patch1t) της Trend Micro

Intel Graphics Driver

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή σε μνήμη πυρήνα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30787: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Intel Graphics Driver

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30766: Liu Long του Ant Security Light-Year Lab

CVE-2021-30765: Yinyi Wu (@3ndy1) της ομάδας Qihoo 360 Vulcan, Liu Long του Ant Security Light-Year Lab

Η καταχώριση ενημερώθηκε στις 18 Νοεμβρίου 2021

IOKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδεχομένως να μπορεί να εκτελέσει κώδικα στο Chip ασφαλείας T2 Apple

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2021-30784: George Nosenko

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30793: Zuozhi Fan (@pattern_F_) του Ant Security TianQiong Lab

Kext Management

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.

CVE-2021-30778: Csaba Fitzl (@theevilbit) της Offensive Security

LaunchServices

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης περιβάλλοντος.

CVE-2021-30677: Ron Waisberg (@epsilan)

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

libxml2

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-3518

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30796: Mickey Jin (@patch1t) της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30792: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Model I/O

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30791: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Networking

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επίσκεψη σε μια κακόβουλη ιστοσελίδα μπορεί να προκαλέσει άρνηση υπηρεσίας από το σύστημα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1821: Georgi Valkov (httpstorm.com)

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

Sandbox

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30782: Csaba Fitzl (@theevilbit) της Offensive Security

Security

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-31004: Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

TCC

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30798: Mickey Jin (@patch1t) της Trend Micro σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Η καταχώριση ενημερώθηκε στις 18 Νοεμβρίου 2021

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-30758: Christoph Guttandin της Media Codings

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30795: Sergei Glazunov του Google Project Zero

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30797: Ivan Fratric του Google Project Zero

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30799: Sergei Glazunov του Google Project Zero

Επιπλέον αναγνώριση

configd

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.

CoreText

Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) της Trend Micro για τη βοήθειά του.

crontabs

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.

Power Management

Θα θέλαμε να ευχαριστήσουμε τους Pan ZhenPeng(@Peterpan0927) του Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), Lisandro Ubiedo (@_lubiedo) του Stratosphere Lab

Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2022

Sandbox

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.

Spotlight

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.

sysdiagnose

Θα θέλαμε να ευχαριστήσουμε τους Carter Jones (linkedin.com/in/carterjones/) και Tim Michaud (@TimGMichaud) της Zoom Video Communications για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: