אודות תוכן האבטחה של macOS Big Sur 11.6
מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.6.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Big Sur 11.6
AppleMobileFileIntegrity
זמין עבור: macOS Big Sur
השפעה: תוקף מקומי עלול להצליח לקרוא מידע רגיש
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30811: חוקר אנונימי שעובד עם Compartir
Apple Neural Engine
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30838: פרוטיאס וואנג
CoreAudio
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ שמע זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30834: JunDong Xie (ג'ון-דונג שייה) מ-Ant Security Light-Year Lab
CoreGraphics
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2021-30928: מיקי ג'ין (Mickey Jin) (@patch1t) מ-Trend Micro
CoreGraphics
זמין עבור: macOS Big Sur
השפעה: עיבוד מסמך PDF בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2021-30860: The Citizen Lab
Core Telephony
זמין עבור: macOS Big Sur
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'. Apple הייתה מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל במועד ההפצה.
תיאור: בעיה של ביטול סריאליזציה טופלה באמצעות אימות משופר.
CVE-2021-31010: Citizen Lab ו-Google Project Zero
CUPS
זמין עבור: macOS Big Sur
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: הייתה בעיית הרשאות. בעיה זו טופלה באמצעות שיפור אימות ההרשאה.
CVE-2021-30827: חוקר אנונימי
CUPS
זמין עבור: macOS Big Sur
השפעה: משתמש מקומי עלול להצליח לקרוא קבצים שרירותיים בבסיס
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30828: חוקר אנונימי
CUPS
זמין עבור: macOS Big Sur
השפעה: משתמש מקומי עלול להצליח להפעיל קבצים שרירותיים
תיאור: טופלה בעיה בניתוח URI בעזרת ניתוח משופר.
CVE-2021-30829: חוקר אנונימי
curl
זמין עבור: macOS Big Sur
השפעה: curl עלול לחשוף מידע פנימי רגיש לשרת באמצעות פרוטוקול רשת בעל טקסט רגיל
תיאור: גלישת חוצץ טופלה ואימות הקלט שופר.
CVE-2021-22925: Red Hat Product Security
CVMS
זמין עבור: macOS Big Sur
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30832: מיקי ג'ין (@patch1t) מ-Trend Micro
FontParser
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ dfont בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30841: שינגווי לין מ-Ant Security Light-Year Lab
CVE-2021-30842: שינגווי לין מ-Ant Security Light-Year Lab
CVE-2021-30843: שינגווי לין מ-Ant Security Light-Year Lab
Gatekeeper
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30853: גורדון לונג (@ethicalhax) מ-Box, Inc.
Graphics Drivers
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.
CVE-2021-30933: ג'ק דייטס מ-RET2 Systems, Inc.
ImageIO
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30835: יה ז'אנג מ-Baidu Security
ImageIO
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30847: מייק ז'אנג מ-Pangu Lab
Kernel
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30830: צווייג מ-Kunlun Lab
Kernel
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2021-30865: צווייג מ-Kunlun Lab
Kernel
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2021-30857: צווייג מ-Kunlun Lab
Kernel
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
CVE-2021-30859: Apple
LaunchServices
זמין עבור: macOS Big Sur
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30864: רון האס (@ronhass7) מ-Perception Point, רון וויסברג (@epsilan)
libexpat
זמין עבור: macOS Big Sur
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות עדכון expat לגרסה 2.4.1.
CVE-2013-0340: חוקר אנונימי
Login Window
זמין עבור: macOS Big Sur
השפעה: אדם עם גישה ל-Mac מארח עלול להצליח לעקוף את חלון ההתחברות ב-Remote Desktop עבור מופע נעול של macOS
תיאור: בעיה לוגית טופלה באמצעות בדיקות משופרות.
CVE-2021-30813: בנג'מין ברגר מ-BBetterTech LLC, ארון היינס מ-AHDesigns916, פיטר גוטקינדט מ-Informatique-MTF S.A.
Model I/O
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ USD בעל מבנה זדוני עלול לחשוף תוכן של הזיכרון
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2021-30819
Preferences
זמין עבור: macOS Big Sur
השפעה: אפליקציה עלולה להצליח לגשת לקבצים מוגבלים
תיאור: התגלתה בעיית אימות בטיפול בקישורים סימבוליים. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2021-30855: ג'יפנג הו (@R3dF09) ויואה בין סון (@yuebinsun2020) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות
תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.
CVE-2021-30925: סאבה פיצל (@theevilbit) מ-Offensive Security
Sandbox
זמין עבור: macOS Big Sur
השפעה: משתמש עלול לקבל גישה לחלקים מוגנים במערכת הקבצים
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2021-30850: חוקר אנונימי
SMB
זמין עבור: macOS Big Sur
השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30845: פיטר נגויין וו הואנג מ-STAR Labs
SMB
זמין עבור: macOS Big Sur
השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30844: פיטר נגויין וו הואנג מ-STAR Labs
WebKit
זמין עבור: macOS Big Sur
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2021-30858: חוקר אנונימי
תודות נוספות
APFS
אנחנו מבקשים להודות לקו מ' נאקגוואה מ-FFRI Security, Inc. על הסיוע.
App Support
ברצוננו להודות ל-@CodeColorist, חוקר אנונימי, ול-漂亮鼠 מ-赛博回忆录 על הסיוע.
CoreML
אנו מבקשים להודות ל-hjy79425575, שעובד עם Trend Micro Zero Day Initiative, על הסיוע.
CUPS
ברצוננו להודות לחוקר אנונימי, Inc. ולניית'ן ניי מ-WhiteBeam Security על הסיוע.
Kernel
אנחנו מבקשים להודות לאנתוני סטיינהאוזר מפרויקט Safeside של Google על הסיוע.
Sandbox
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
smbx
אנחנו מבקשים להודות לז'ונגצ'נג לי (CK01) על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.