Tietoja macOS Big Sur 11.6.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.6.1:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.6.1
AppleScript
Saatavuus: macOS Big Sur
Vaikutus: vilpillisessä tarkoituksessa tuotettu AppleScript-binääri saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30876: Jeremy Brown, hjy79425575
CVE-2021-30879: Jeremy Brown, hjy79425575
CVE-2021-30877: Jeremy Brown
CVE-2021-30880: Jeremy Brown
Audio
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30907: Zweig (Kunlun Lab)
Bluetooth
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2021-30899: Weiteng Chen, Zheng Zhang, ja Zhiyun Qian (UC Riverside) ja Yu Wang (Didi Research America)
ColorSync
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Muistin vioittumisongelma ICC-profiilien käsittelyssä on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2021-30926: Jeremy Brown
ColorSync
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: ICC-profiilien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2021-30917: Alexandru-Vlad Niculae ja Mateusz Jurczyk (Google Project Zero)
Continuity Camera
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Hallitsematon muotoilumerkkijono-ongelma ratkaistiin parantamalla annettujen tietojen varmistamista.
CVE-2021-30903: Gongyu Ma, Hangzhou Dianzi University
CoreAudio
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30905: Mickey Jin (@patch1t, Trend Micro)
CoreGraphics
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen PDF-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30919
FileProvider
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla muistin käsittelyä.
CVE-2021-30881: Simon Huang (@HuangShaomang) ja pjf (IceSword Lab, Qihoo 360)
Näytönohjainajurit
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30900: Yinyi Wu (@3ndy1, Ant Security Light-Year Lab)
iCloud
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30906: Cees Elzinga
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30824: Antonio Zekic (@antoniozekic, Diverto)
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Useita rajojen ulkopuolisen muistin kirjoitusongelmia ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30901: Zuozhi Fan (@pattern_F_, Ant Security TianQiong Lab), Jack Dates (RET2 Systems, Inc.) Liu Long (Ant Security Light-Year Lab) Yinyi Wu (@3ndy1, Ant Security Light-Year Lab)
CVE-2021-30922: Jack Dates (RET2 Systems, Inc.), Yinyi Wu (@3ndy1)
IOGraphics
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30821: Tim Michaud (@TimGMichaud, Zoom Video Communications)
IOMobileFrameBuffer
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30883: nimetön tutkija
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30909: Zweig (Kunlun Lab)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30916: Zweig (Kunlun Lab)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30910: Mickey Jin (@patch1t, Trend Micro)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30911: Rui Yang ja Xingwei Lin (Ant Security Light-Year Lab)
SMB
Saatavuus: macOS Big Sur
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30844: Peter Nguyen Vu Hoang (STAR Labs)
SMB
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2021-30868: Peter Nguyen Vu Hoang (STAR Labs)
SoftwareUpdate
Saatavuus: macOS Big Sur
Vaikutus: Valtuuttamaton sovellus saattaa pystyä muokkaamaan NVRAM-muuttujia.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30913: Kirin (@Pwnrin) ja chenyuwang (@mzzzz__, Tencent Security Xuanwu Lab)
SoftwareUpdate
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi saada pääsyn käyttäjän avainnipun kohteisiin.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2021-30912: Kirin (@Pwnrin) ja chenyuwang (@mzzzz__, Tencent Security Xuanwu Lab)
UIKit
Saatavuus: macOS Big Sur
Vaikutus: Henkilö, jolla on fyysinen pääsy laitteelle saattaa pystyä päättelemään käyttäjän salasanan luonteen suojatussa tekstikentässä.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30915: Kostas Angelopoulos
Windows Server
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi pystyä näkemään aiemmin kirjautuneen käyttäjän työpöydän nopean käyttäjän vaihdon näytöltä.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2021-30908: ASentientBot
xar
Saatavuus: macOS Big Sur
Vaikutus: Haitta-arkiston purkaminen saattaa sallia hyökkääjälle satunnaistiedostojen kirjoittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30833: Richard Warren (NCC Group)
zsh
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: Peritty oikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2021-30892: Jonathan Bar Or (Microsoft)
Kiitokset
iCloud
Haluamme kiittää Ryan Pickrenia (ryanpickren.com) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.