Tietoja macOS Big Sur 11.5:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.5:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.5
AMD Kernel
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30805: ABC Research s.r.o
Analytics
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi pystyä käyttämään analytiikkatietoja.
Kuvaus: Logiikkaongelma ratkaistiin parantamalla rajoituksia.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
AppKit
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2021-30790: Trend Micron Zero Day Initiativen parissa työskentelevä hjy79425575
App Store
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia
Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2021-31006: Csaba Fitzl (@theevilbit, Offensive Security)
Audio
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30781: tr3e
AVEVideoEncoder
Saatavuus: macOS Big Sur
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30748: George Nosenko
CoreAudio
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30775: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30776: JunDong Xie (Ant Security Light-Year Lab)
CoreGraphics
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2021-30786: ryuzaki
CoreServices
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30772: Zhongcheng Li (CK01)
CoreServices
Saatavuus: macOS Big Sur
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.
CVE-2021-30783: Ron Waisberg (@epsilan)
CoreStorage
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.
CVE-2021-30777: Tim Michaud (@TimGMichaud, Zoom Video Communications) ja Gary Nield (ECSC Group plc)
CoreText
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30789: Mickey Jin (@patch1t, Trend Micro), Sunglin (Knownsec 404 team)
Crash Reporter
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30774: Yizhuo Wang (Group of Software Security In Progress [G.O.S.S.I.P], Shanghai Jiao Tong University)
CVMS
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30780: Tim Michaud (@TimGMichaud, Zoom Video Communications)
dyld
Saatavuus: macOS Big Sur
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30768: Linus Henze (pinauten.de)
Family Sharing
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä käyttämään tietoja tileistä, joiden kanssa käyttäjä käytti Perhejakoa.
Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2021-30817: Csaba Fitzl (@theevilbit, Offensive Security)
Find My
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään Etsi-apin tietoja
Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2021-30804: Csaba Fitzl (@theevilbit, Offensive Security), Wojciech Reguła (@_r3ggi, SecuRing)
FontParser
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30760: Sunglin (Knownsec 404 team)
FontParser
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen tiff-tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30788: Trend Micron Zero Day Initiativen parissa työskentelevä tr3e
FontParser
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2021-30759: Trend Micron Zero Day Initiativen parissa työskentelevä hjy79425575
Identity Services
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä käyttämään käyttäjän viimeisimpiä yhteystietoja.
Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat, Baidu Security)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2021-30785: CFF (Topsec Alpha Team), Mickey Jin (@patch1t, Trend Micro)
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30787: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30766: Liu Long (Ant Security Light-Year Lab)
CVE-2021-30765: Yinyi Wu (@3ndy1, Qihoo 360 Vulcan Team), Liu Long (Ant Security Light-Year Lab)
IOKit
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi pystyä suorittamaan koodia Apple T2 Security -sirulla.
Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.
CVE-2021-30784: George Nosenko
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30793: Zuozhi Fan (@pattern_F_, Ant Security TianQiong Lab)
Kext Management
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset
Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2021-30778: Csaba Fitzl (@theevilbit, Offensive Security)
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.
CVE-2021-30677: Ron Waisberg (@epsilan)
libxml2
Saatavuus: macOS Big Sur
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-3518
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30796: Mickey Jin (@patch1t, Trend Micro)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30792: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30791: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
Networking
Saatavuus: macOS Big Sur
Vaikutus: Haitallisella verkkosivulla käynti saattoi aiheuttaa järjestelmän palveluneston.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Sandbox
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30782: Csaba Fitzl (@theevilbit, Offensive Security)
Security
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2021-31004: Csaba Fitzl (@theevilbit, Offensive Security)
TCC
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30798: Trend Micron Zero Day Initiativen parissa työskentelevä Mickey Jin (@patch1t, Trend Micro)
WebKit
Saatavuus: macOS Big Sur
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-2021-30758: Christoph Guttandin (Media Codings)
WebKit
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30795: Sergei Glazunov (Google Project Zero)
WebKit
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30797: Ivan Fratric (Google Project Zero)
WebKit
Saatavuus: macOS Big Sur
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30799: Sergei Glazunov (Google Project Zero)
Kiitokset
configd
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
CoreText
Haluamme kiittää Mickey Jinia (@patch1t, Trend Micro) hänen avustaan.
crontabs
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
Power Management
Haluamme kiittää Pan ZhenPengiä (@Peterpan0927, Alibaba Security Pandora Lab), Csaba Fitzlia (@theevilbit) ja Lisandro Ubiedoa (@_lubiedo, Stratosphere Lab)
Sandbox
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
Spotlight
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
sysdiagnose
Haluamme kiittää Carter Jonesia (linkedin.com/in/carterjones/) ja Tim Michaudia (@TimGMichaud, Zoom Video Communications) heidän avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.