Tietoja macOS Big Sur 11.6.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.6.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.6.2
Archive Utility
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30950: @gorelics
Bluetooth
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30931: Weiteng Chen, Zheng Zhang ja Zhiyun Qian (UC Riverside) ja Yu Wang (Didi Research America)
Bluetooth
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30935: nimetön tutkija
ColorSync
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma ICC-profiilien käsittelyssä on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2021-30942: Mateusz Jurczyk (Google Project Zero)
CoreAudio
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuoto-ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30957: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen äänitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen
Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30962: JunDong Xie – Ant Security Light-Year Lab
CoreAudio
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen äänitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30959: JunDong Xie (Ant Security Light-Year Lab)
CVE-2021-30961: JunDong Xie (Ant Security Light-Year Lab)
CVE-2021-30963: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30958: JunDong Xie (Ant Security Light-Year Lab)
Crash Reporter
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30945: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
File Provider
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset
Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2021-31007: Csaba Fitzl (@theevilbit, Offensive Security)
FontParser
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-31013: Daniel Lim Wee Soong of STAR Labs
Game Center
Saatavuus: macOS Big Sur
Vaikutus: Haittasovellus saattaa päästä käsiksi käyttäjän yhteystietoihin.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30895: Denis Tokarev (@illusionofcha0s)
Graphics Drivers
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2021-30977: Jack Dates (RET2 Systems, Inc.)
Help Viewer
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen URL:n käsittely saattaa aiheuttaa odottamattoman JavaScript-suorituksen levyllä olevasta tiedostosta
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2021-30969: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30939: Mickey Jin (@patch1t) – Trend Micro, Jaewon Min – Cisco Talos, Rui Yang ja Xingwei Lin – Ant Security Light-Year Lab
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2021-30981: Liu Long – Ant Security Light-Year Lab, Jack Dates – RET2 Systems, Inc.
IOUSBHostFamily
Saatavuus: macOS Big Sur
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai keon vioittumisen
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2021-30982: Weiteng Chen, Zheng Zhang ja Zhiyun Qian (UC Riverside) sekä Yu Wang (Didi Research America)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30927: Xinru Chi (Pangu Lab)
CVE-2021-30980: Xinru Chi (Pangu Lab)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2021-30937: Sergei Glazunov (Google Project Zero)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30949: Ian Beer (Google Project Zero)
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30990: Ron Masas (BreakPoint.sh)
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30976: chenyuwang (@mzzzz__) ja Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30929: Rui Yang ja Xingwei Lin (Ant Security Light-Year Lab)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30979: Mickey Jin (@patch1t, Trend Micro)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30940: Rui Yang ja Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30941: Rui Yang ja Xingwei Lin (Ant Security Light-Year Lab)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30973: Ye Zhang (@co0py_Cat, Baidu Security)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30971: Ye Zhang (@co0py_Cat, Baidu Security)
Preferences
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet
Kuvaus: Kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2021-30995: Mickey Jin (@patch1t, Trend Micro), Mickey Jin (@patch1t)
Sandbox
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia.
Kuvaus: Kovan linkin toimintaan liittyvä vahvistusongelma on korjattu parannetuilla eristysrajoituksilla.
CVE-2021-30968: Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi käyttää käyttäjän tiedostoja
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2021-30947: Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30946: @gorelics ja Ron Masas (BreakPoint.sh)
Script Editor
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen OSAX-skriptin lisäys saattaa ohittaa Gatekeeper-tarkistukset ja kiertää eristysrajoitukset
Kuvaus: Tämä ongelma on korjattu poistamalla JavaScriptin suorittaminen käytöstä komentosarjasanakirjaa tarkasteltaessa.
CVE-2021-30975: Ryan Pickren (ryanpickren.com)
SMB
Saatavuus: macOS Big Sur
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-31002: Peter Nguyễn Vũ Hoàng of STAR Labs
TCC
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen käyttäjä saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30767: @gorelics
TCC
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30970: Jonathan Bar Or (Microsoft)
TCC
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen appi voi aiheuttaa palveluneston päätelaitteiden suojauksen käyttäjille
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30965: Csaba Fitzl (@theevilbit, Offensive Security)
Wi-Fi
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30938: Xinru Chi (Pangu Lab)
Kiitokset
Admin Framework
Haluamme kiittää Simon Andersenia (Aarhus University) ja Pico Mitchelliä heidän avustaan.
Bluetooth
Haluamme kiittää Haram Parkia (Korea University) hänen avustaan.
ColorSync
Haluamme kiittää Mateusz Jurczykiä (Google Project Zero) hänen avustaan.
Contacts
Haluamme kiittää Minchan Parkia (03stin) hänen avustaan.
Kernel
Haluamme kiittää Amit Kleinia (Bar-Ilania University's Center for Research in Applied Cryptography and Cyber Security) hänen avustaan.
Model I/O
Haluamme kiittää Rui Yangia ja Xingwei Liniä (Ant Security Light-Year Lab) heidän avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.