Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.3
APFS
Dostupno za: macOS Big Sur
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1853: Gary Nield (ECSC Group plc) i Tim Michaud (@TimGMichaud) (Zoom Video Communications)
AppleMobileFileIntegrity
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2021-1849: Siguza
Apple Neural Engine
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle bi izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1867: Zuozhi Fan (@pattern_F_) i Wish Wu (吴潍浠) (Ant Group Tianqiong Security Lab)
Archive Utility
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1810: Rasmus Sten (@pajp) (F-Secure)
Audio
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1857: anonimni istraživač
Compression
Dostupno za: macOS Big Sur
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda.
CVE-2021-30752: Ye Zhang (@co0py_Cat) (Baidu Security)
CoreAudio
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne audiodatoteke moglo bi doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: macOS Big Sur
Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreFoundation
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30659: Thijs Alkemade (Computest)
CoreGraphics
Dostupno za: macOS Big Sur
Učinak: otvaranjem zlonamjerno stvorene datoteke aplikacija se može neočekivano zatvoriti ili se može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1847: Xuwei Liu (Sveučilište Purdue)
CoreText
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
curl
Dostupno za: macOS Big Sur
Učinak: zlonamjerni poslužitelj mogao bi otkriti aktivne usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-8284: Marian Rehak
curl
Dostupno za: macOS Big Sur
Učinak: napadač može poslati lažan OCSP odgovor koji izgleda valjano
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-8286: anonimni istraživač
curl
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: prekoračenje međuspremnika riješeno je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2020-8285: xnynx
DiskArbitration
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: u procesu DiskArbitration postojao je problem s dozvolama. Problem je riješen dodatnim provjerama vlasništva.
CVE-2021-1784: Mikko Kenttälä (@Turmio_) (SensorFu), Csaba Fitzl (@theevilbit) (Offensive Security) i anonimni istraživač
FaceTime
Dostupno za: macOS Big Sur
Učinak: isključenjem zvuka CallKit poziva tijekom zvonjave možda neće doći do omogućavanja opcije isključivanja zvuka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1872: Siraj Zaneer (Facebook)
FontParser
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1881: anonimni istraživač, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) i Hou JingYi (@hjy79425575) (Qihoo 360)
Foundation
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Dostupno za: macOS Big Sur
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-1813: Cees Elzinga
Heimdal
Dostupno za: macOS Big Sur
Učinak: obrada zlonamjernih poruka poslužitelja može dovesti do oštećenja skupa
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike moglo bi doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1880: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1814: Ye Zhang (Baidu Security), Mickey Jin i Qi Sun (Trend Micro) te Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1858: Mickey Jin (Trend Micro)
ImageIO
Dostupno za: macOS Big Sur
Učinak: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda.
CVE-2021-30743: Ye Zhang (@co0py_Cat) (Baidu Security), CFF (Topsec Alpha Team), Jzhu u suradnji s inicijativom Zero Day (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab), CFF (Topsec Alpha Team), Jeonghoon Shin (@singi21a) (THEORI) u suradnji s inicijativom Zero Day (Trend Micro)
Installer
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: problem je riješen poboljšanim rukovanjem metapodacima datoteke.
CVE-2021-30658: Wojciech Reguła (@_r3ggi) (SecuRing)
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle bi izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1841: Jack Dates (RET2 Systems, Inc.)
CVE-2021-1834: ABC Research s.r.o. u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1860: @0xalsr
Kernel
Dostupno za: macOS Big Sur
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1851: @0xalsr
Kernel
Dostupno za: macOS Big Sur
Učinak: može se dogoditi da kopirane datoteke nemaju očekivane datotečne dozvole
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2021-1832: anonimni istraživač
Kernel
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30660: Alex Plaskett
libxpc
Dostupno za: macOS Big Sur
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2021-30652: James Hutchins
libxslt
Dostupno za: macOS Big Sur
Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa
Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1875: otkrio OSS-Fuzz
Login Window
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2021-1824: Wojciech Reguła (@_r3ggi) (SecuRing)
Notes
Dostupno za: macOS Big Sur
Učinak: sadržaj zaključanih bilješki možda se neočekivano otključao
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1859: Syed Ali Shuja (@SyedAliShuja) (Colour King Pvt.) Ltd)
NSRemoteView
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1876: Matthew Denton (Google Chrome)
Preferences
Dostupno za: macOS Big Sur
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2021-1815: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
CVE-2021-1739: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
CVE-2021-1740: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
Safari
Dostupno za: macOS Big Sur
Učinak: zlonamjerno web-mjesto moglo bi pratiti korisnike postavljanjem stanja u predmemoriji
Opis: u određivanju zauzetosti predmemorije otkriven je problem. Problem je riješen poboljšanjem logike.
CVE-2021-1861: Konstantinos Solomos (Sveučilište Illinois u Chicagu)
Safari
Dostupno za: macOS Big Sur
Učinak: zlonamjerno web-mjesto moglo bi nametnuti nepotrebne mrežne veze radi dohvaćanja svoje ikone prečaca
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1855: Håvard Mikkelsen Ottestad (HASMAC AS)
SampleAnalysis
Dostupno za: macOS Big Sur
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1868: Tim Michaud (Zoom Communications)
Sandbox
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija možda će moći pristupiti nedavnim kontaktima korisnika
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2021-30750: Csaba Fitzl (@theevilbit) (Offensive Security)
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1878: Aleksandar Nikolic (Cisco Talos (talosintelligence.com))
System Preferences
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići provjere alata Gatekeeper. Apple zna za izvješće o potencijalnom aktivnom iskorištavanju ovog problema.
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30657: Cedric Owens (@cedowens)
TCC
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija koja nije u memoriji za testiranje u sustavu s omogućenom opcijom Udaljena prijava mogla bi zaobići postavke privatnosti
Opis: ovaj je problem riješen dodavanjem nove opcije Udaljena prijava za ulazak u Puni pristup disku za sesije Sigurna ljuska.
CVE-2021-30856: Csaba Fitzl (@theevilbit) (Offensive Security), Andy Grant (Zoom Video Communications), Thijs Alkemade (Computest Research Division), Wojciech Reguła (SecuRing) (wojciechregula.blog), Cody Thomas (SpecterOps), Mickey Jin (Trend Micro)
tcpdump
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-8037: anonimni istraživač
Time Machine
Dostupno za: macOS Big Sur
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2021-1839: Tim Michaud (@TimGMichaud) (Zoom Video Communications) i Gary Nield (ECSC Group plc)
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1817: zhunki
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1826: anonimni istraživač
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1820: André Bargull
WebKit Storage
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30661: yangkang (@dnpushme) (360 ATA)
WebRTC
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-7463: Megan2013678
Wi-Fi
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Wi-Fi
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1829: Tielei Wang (Pangu Lab)
Wi-Fi
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2021-30655: Gary Nield (ECSC Group plc), Tim Michaud (@TimGMichaud) (Zoom Video Communications) i Wojciech Reguła (@_r3ggi) (SecuRing)
Wi-Fi
Dostupno za: macOS Big Sur
Učinak: logički problem riješen je poboljšanim upravljanjem stanjem
Opis: prekoračenje međuspremnika može rezultirati izvršavanjem proizvoljnog koda.
CVE-2021-1770: Jiska Classen (@naehrdine) iz laboratorija Secure Mobile Networking Lab, TU Darmstadt
WindowServer
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi neočekivano propustiti korisnikove vjerodajnice iz sigurnih tekstnih polja
Opis: problem s API-jem u TCC dozvolama za pristupačnost riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1873: anonimni istraživač
Dodatna zahvala
AirDrop
Željeli bismo zahvaliti istraživaču @maxzks na pomoći.
CoreAudio
Na pomoći zahvaljujemo anonimnom istraživaču.
CoreCrypto
Željeli bismo zahvaliti Andyju Russonu (Orange Group) na pomoći.
File Bookmark
Na pomoći zahvaljujemo anonimnom istraživaču.
Foundation
Željeli bismo zahvaliti CodeColoristu (Ant-Financial LightYear Labs) na pomoći.
Kernel
Željeli bismo zahvaliti Antoniju Frighettou (Politecnico di Milano), GRIMM-u, Keyu Manu, Zhiyunu Qianu, Zhongjieu Wangu, Xiaofengu Zhengu, Youjunu Huangu, Haixinu Duanu, Mikkou Kenttäläu (@Turmio_) (SensorFu) i Proteasu na pomoći.
Željeli bismo zahvaliti Petteru Flinku (Sigurnosne operacije, Bonnier News) i anonimnom istraživaču na pomoći.
Safari
Željeli bismo zahvaliti Sahilu Mehrau (Nullr3x) i Shivamu Kamboju Dattanau (Sechunt3r) na pomoći.
Security
Željeli bismo zahvaliti Xingweiju Linu (Ant Security Light-Year Lab) i Johnu (@nyan_satan) na pomoći.
sysdiagnose
Željeli bismo zahvaliti Timu Michaudu (@TimGMichaud) (Leviathan) na pomoći.
WebKit
Željeli bismo zahvaliti Emiliju Cobosu Álvarezu (Mozilla) na pomoći.
WebSheet
Željeli bismo zahvaliti Patricku Cloveru na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.