אודות תוכן האבטחה של macOS Big Sur 11.6.1
מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.6.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Big Sur 11.6.1
AppleScript
זמין עבור: macOS Big Sur
השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30876: ג'רמי בראון, hjy79425575
CVE-2021-30879: ג'רמי בראון, hjy79425575
CVE-2021-30877: ג'רמי בראון
CVE-2021-30880: ג'רמי בראון
Audio
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2021-30907: צווייג מ-Kunlun Lab
Bluetooth
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.
CVE-2021-30899: ווייטנג צ'ן, ז'נג ז'אנג וז'י-יון קיאן מאוניברסיטת קליפורניה בריברסייד, וכן יו וואנג מ-Didi Research America
ColorSync
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיית השחתת זיכרון בעיבוד פרופילים של ICC טופלה באמצעות אימות קלט משופר.
CVE-2021-30926: ג'רמי בראון
ColorSync
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: הייתה בעיה של השחתת זיכרון בעיבוד פרופילים של ICC. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2021-30917: אלכסנדרו-ולאד ניקולאה ומטאוש ג'ורציק מ‑Google Project Zero
Continuity Camera
זמין עבור: macOS Big Sur
השפעה: תוקף מקומי עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה של מחרוזת פורמט לא מבוקרת טופלה באמצעות אימות קלט משופר.
CVE-2021-30903: גונגיו מא מאוניברסיטת Hangzhou Dianzi
CoreAudio
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ זדוני עלול לחשוף את פרטי המשתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30905: מיקי ג'ין (@patch1t) מ-Trend Micro
CoreGraphics
זמין עבור: macOS Big Sur
השפעה: עיבוד מסמך PDF בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2021-30919
FileProvider
זמין עבור: macOS Big Sur
השפעה: פירוק ארכיון בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית אימות קלט טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30881: סימון הואנג (@HuangShaomang) ו-pjf מ-IceSword Lab ב-Qihoo 360
GPU Drivers
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30900: יין-יי וו (@3ndy1) מ‑Ant Security Light‑Year Lab
iCloud
זמין עבור: macOS Big Sur
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30906: קייס אלזינחה
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30824: אנטוניו זקיץ' (@antoniozekic) מ-Diverto
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיות מרובות של כתיבה מחוץ לטווח טופלו באמצעות בדיקת טווח משופרת.
CVE-2021-30901: זואוז'י פאן (@pattern_F_) מ‑Ant Security TianQiong Lab, ג'ק דייטס מ‑RET2 Systems, Inc., ליו לונג מ-Ant Security Light-Year Lab ויין-יי וו (@3ndy1) מ‑Ant Security Light‑Year Lab
CVE-2021-30922: ג'ק דייטס מ‑RET2 Systems, Inc., יין-יי וו (@3ndy1)
IOGraphics
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30821: טים מישו (@TimGMichaud) מ-Zoom Video Communications
IOMobileFrameBuffer
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30883: חוקר אנונימי
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30909: צווייג מ-Kunlun Lab
Kernel
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30916: צווייג מ-Kunlun Lab
Model I/O
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ זדוני עלול לחשוף את פרטי המשתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30910: מיקי ג'ין (@patch1t) מ-Trend Micro
Model I/O
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ USD בעל מבנה זדוני עלול לחשוף תוכן של הזיכרון
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30911: רוי יאנג ושינגווי לין מAnt Security Light-Year Lab
SMB
זמין עבור: macOS Big Sur
השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30844: פיטר נגויאן וו הואנג מ-STAR Labs
SMB
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2021-30868: פיטר נגויין וו הואנג מ‑STAR Labs
SoftwareUpdate
זמין עבור: macOS Big Sur
השפעה: יישום ללא הרשאות עלול להצליח לערוך משתנים של NVRAM
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2021-30913: קירין (@Pwnrin) וצ'ן-יו וואנג (@mzzzz__) מ-Tencent Security Xuanwu Lab
SoftwareUpdate
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להשיג גישה לפריטי 'צרור מפתחות' של משתמש
תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.
CVE-2021-30912: קירין (@Pwnrin) וצ'ן-יו וואנג (@mzzzz__) מ-Tencent Security Xuanwu Lab
UIKit
זמין עבור: macOS Big Sur
השפעה: אדם שיש לו גישה פיזית למכשיר יוכל לקבוע מאפיינים של סיסמת משתמש בשדה שבו מזינים טקסט מאובטח
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30915: קוסטס אנגלופולוס
Windows Server
זמין עבור: macOS Big Sur
השפעה: תוקף מקומי עלול להצליח לצפות בשולחן העבודה של המשתמש הקודם שהיה מחובר מהמסך 'מעבר מהיר בין משתמשים'
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30908: ASentientBot
xar
זמין עבור: macOS Big Sur
השפעה: פירוק ארכיון בעל מבנה זדוני עלול לאפשר לתוקף לכתוב קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30833: ריצ'רד וורן מ-NCC Group
zsh
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית הרשאות העוברות בירושה טופלה באמצעות הגבלות נוספות.
CVE-2021-30892: יונתן בר אור מ-Microsoft
תודות נוספות
iCloud
אנחנו מבקשים להודות לראיין פיקרן (ryanpickren.com) על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.