אודות תוכן האבטחה של macOS Big Sur 11.5
מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.5.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Big Sur 11.5
AMD Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2021-30805: ABC Research s.r.o
Analytics
זמין עבור: macOS Big Sur
השפעה: ייתכן שתוקף מקומי יוכל לגשת לנתוני ניתוח
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2021-30871: דניס טוקארב (@illusionofcha0s)
AppKit
זמין עבור: macOS Big Sur
השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.
CVE-2021-30790: hjy79425575 יחד עם Zero Day Initiative של Trend Micro
App Store
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2021-31006: סאבה פיצל (@theevilbit) מ-Offensive Security
Audio
זמין עבור: macOS Big Sur
השפעה: תוקף מקומי עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30781: tr3e
AVEVideoEncoder
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30748: ג'ורג' נוסנקו
CoreAudio
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30775: ג'ונדונג שייה מ-Ant Security Light-Year Lab
CoreAudio
זמין עבור: macOS Big Sur
השפעה: הפעלת קובץ שמע זדוני עלולה להוביל לסיום בתי צפוי של היישום
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2021-30776: ג'ונדונג שייה מ-Ant Security Light-Year Lab
CoreGraphics
זמין עבור: macOS Big Sur
השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.
CVE-2021-30786: ריוזאקי
CoreServices
זמין עבור: macOS Big Sur
השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30772: ז'ונגצ'נג לי (CK01)
CoreServices
זמין עבור: macOS Big Sur
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2021-30783: רון ויסברג (@epsilan)
CoreStorage
זמין עבור: macOS Big Sur
השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס
תיאור: בעיית החדרה טופלה באמצעות אימות משופר.
CVE-2021-30777: טים מישו (@TimGMichaud) מ-Zoom Video Communications וגארי נילד מ-ECSC Group plc
CoreText
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2021-30789: מיקי ג'ין (@patch1t) מ‑Trend Micro וסונגלין מצוות Knownsec 404
Crash Reporter
זמין עבור: macOS Big Sur
השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2021-30774: ייז'ואו וואנג מ‑Group of Software Security In Progress (G.O.S.S.I.P) באוניברסיטת ג'יאו טונג, שנגחאי
CVMS
זמין עבור: macOS Big Sur
השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30780: טים מישו (@TimGMichaud) מ-Zoom Video Communications
dyld
זמין עבור: macOS Big Sur
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2021-30768: לינוס הנצה (pinauten.de)
Family Sharing
זמין עבור: macOS Big Sur
השפעה: ייתכן שיישום זדוני יוכל לגשת לנתונים אודות החשבונות שהמשתמש עושה בהם שימוש עם 'שיתוף משפחתי'
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2021-30817: סאבה פיצל (@theevilbit) מ-Offensive Security
Find My
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לגשת ל'מצא את הנתונים שלי'
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2021-30804: שאבה פיצל (@theevilbit) מ-Offensive Security, וויצ'ך רגולה (@_r3ggi) מ-SecuRing
FontParser
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2021-30760: סונגלין מצוות Knownsec 404
FontParser
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ tiff שנוצר באופן זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן הזיכרון
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30788: tr3e יחד עם Zero Day Initiative של Trend Micro
FontParser
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: גלישת מחסנית טופלה בעזרת אימות קלט משופר.
CVE-2021-30759: hjy79425575 יחד עם Zero Day Initiative של Trend Micro
Identity Services
זמין עבור: macOS Big Sur
השפעה: ייתכן שיישום זדוני יוכל לקבל גישה לאנשי קשר של המשתמש שהיו בשימוש לאחרונה
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2021-30803: מאט שוקלי (twitter.com/mattshockl), סאבה פיצל (@theevilbit) מ-Offensive Security
ImageIO
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30779: ג'ז'ו, יה ז'אנג (@co0py_Cat) מ‑Baidu Security
ImageIO
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2021-30785: CFF מ‑Topsec Alpha Team, מיקי ג'ין (@patch1t) מ‑Trend Micro
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: ייתכן שאפליקציה תוכל לגרום לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30787: אנונימי יחד עם Zero Day Initiative של Trend Micro
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2021-30766: ליו לונג מ-Ant Security Light-Year Lab
CVE-2021-30765: יין-יי וו (@3ndy1) מ-Qihoo 360 Vulcan Team, ליו לונג מ-Ant Security Light-Year Lab
IOKit
זמין עבור: macOS Big Sur
השפעה: ייתכן שתוקף מקומי יוכל להפעיל קוד בשבב האבטחה T2 של Apple
תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.
CVE-2021-30784: ג'ורג' נוסנקו
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30793: זואוז'י פאן (@pattern_F_) מ-Ant Security TianQiong Lab
Kext Management
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2021-30778: סאבה פיצל (@theevilbit) מ-Offensive Security
LaunchServices
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.
CVE-2021-30677: רון ויסברג (@epsilan)
libxml2
זמין עבור: macOS Big Sur
השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-3518
Model I/O
זמין עבור: macOS Big Sur
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2021-30796: מיקי ג'ין (@patch1t) מ-Trend Micro
Model I/O
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2021-30792: אנונימי יחד עם Zero Day Initiative של Trend Micro
Model I/O
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ זדוני עלול לחשוף את פרטי המשתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30791: אנונימי יחד עם Zero Day Initiative של Trend Micro
Networking
זמין עבור: macOS Big Sur
השפעה: ביקור בדף אינטרנט בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-1821: גאורגי וולקוב (httpstorm.com)
Sandbox
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30782: צ'אבה פיצל (@theevilbit) מ‑Offensive Security
Security
זמין עבור: macOS Big Sur
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2021-31004: סאבה פיצל (@theevilbit) מ-Offensive Security
TCC
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30798: מיקי ג'ין (@patch1t) מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: macOS Big Sur
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
CVE-2021-30758: כריסטוף גוטנדין מ‑Media Codings
WebKit
זמין עבור: macOS Big Sur
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2021-30795: סרגיי גלזונוב מ‑Google Project Zero
WebKit
זמין עבור: macOS Big Sur
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30797: איוון פרטריץ' מ‑Google Project Zero
WebKit
זמין עבור: macOS Big Sur
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2021-30799: סרגיי גלזונוב מ-Google Project Zero
תודות נוספות
configd
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
CoreText
אנחנו מבקשים להודות למיקי ג'ין (@patch1t) מ-Trend Micro על הסיוע.
crontabs
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
Power Management
ברצוננו להודות לפאן ז'נפנג (Peterpan0927@) מ-Alibaba Security Pandora Lab, שאבה פיצל (theevilbit@), ליסנדרו אובידו (lubiedo_@) מ-Stratosphere Lab
Sandbox
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
Spotlight
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
sysdiagnose
אנחנו מבקשים להודות לקרטר ג'ונס (linkedin.com/in/carterjones/) ולטים מישו (TimGMichaud@) מ-Zoom Video Communications על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.