O sigurnosnom sadržaju sustava macOS Big Sur 11.6.1

U ovom je dokumentu opisan sigurnosni sadržaj sustava macOS Big Sur 11.6.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Big Sur 11.6.1

Objavljeno 25. listopada 2021.

AppleScript

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja aplikacija ili otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

Audio

Dostupno za: macOS Big Sur

Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30907: Zweig (Kunlun Lab)

Bluetooth

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30899: Weiteng Chen, Zheng Zhang i Zhiyun Qian (UC Riverside) te Yu Wang (Didi Research America)

ColorSync

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije u obradi ICC profila riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30926: Jeremy Brown

Unos je dodan 25. svibnja 2022.

ColorSync

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: u obradi ICC profila pojavio se problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30917: Alexandru-Vlad Niculae i Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Dostupno za: macOS Big Sur

Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s nizom nekontroliranog formata riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30903: Gongyu Ma sa Sveučilišta Hangzhou Dianzi

Unos je dodan 19. siječnja 2022., a ažuriran 25. svibnja 2022.

CoreAudio

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerno stvorene datoteke mogli su se otkriti korisnički podaci

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)

Unos je dodan 19. siječnja 2022.

CoreGraphics

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne PDF datoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30919

FileProvider

Dostupno za: macOS Big Sur

Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2021-30881: Simon Huang (@HuangShaomang) i pjf (IceSword Lab, Qihoo 360)

GPU Drivers

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30900: Yinyi Wu (@3ndy1) (Ant Security Light-Year Lab)

Unos je dodan 19. siječnja 2022.

iCloud

Dostupno za: macOS Big Sur

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30906: Cees Elzinga

Intel Graphics Driver

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30824: Antonio Zekic (@antoniozekic) (Diverto)

Intel Graphics Driver

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: veći broj problema sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30901: Zuozhi Fan (@pattern_F_) (Ant Security TianQiong Lab), Jack Dates (RET2 Systems, Inc.), Liu Long (Ant Security Light-Year Lab), Yinyi Wu (@3ndy1) (Ant Security Light-Year Lab)

CVE-2021-30922: Jack Dates (RET2 Systems, Inc.), Yinyi Wu (@3ndy1)

Unos je ažuriran 19. siječnja 2022., a zatim ažuriran 25. svibnja 2022.

IOGraphics

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30821: Tim Michaud (@TimGMichaud) (Zoom Video Communications)

IOMobileFrameBuffer

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30883: anonimni istraživač

Kernel

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30909: Zweig (Kunlun Lab)

Kernel

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30916: Zweig (Kunlun Lab)

Model I/O

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerno stvorene datoteke mogli su se otkriti korisnički podaci

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30910: Mickey Jin (@patch1t) (Trend Micro)

Model I/O

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30911: Rui Yang i Xingwei Lin (Ant Security Light-Year Lab)

SMB

Dostupno za: macOS Big Sur

Učinak: udaljeni napadač mogao bi otkriti memoriju

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30844: Peter Nguyen Vu Hoang (STAR Labs)

Unos je dodan 25. svibnja 2022.

SMB

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2021-30868: Peter Nguyen Vu Hoang (STAR Labs)

SoftwareUpdate

Dostupno za: macOS Big Sur

Učinak: neke aplikacije bez ovlasti mogle su uređivati NVRAM varijable

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-30913: Kirin (@Pwnrin) i chenyuwang (@mzzzz__) (Tencentov laboratorij za sigurnost Xuanwu)

Unos je ažuriran 25. svibnja 2022.

SoftwareUpdate

Dostupno za: macOS Big Sur

Učinak: zlonamjerne aplikacije mogle su steći pristup korisnikovim stavkama privjeska za ključeve

Opis: problem je riješen poboljšanom logikom za dozvole.

CVE-2021-30912: Kirin (@Pwnrin) i chenyuwang (@mzzzz__) (Tencentov laboratorij za sigurnost Xuanwu)

UIKit

Dostupno za: macOS Big Sur

Učinak: osobe s fizičkim pristupom uređaju mogle su otkriti karakteristike korisnikove lozinke u polju za unos sigurnog teksta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30915: Kostas Angelopoulos

Windows Server

Dostupno za: macOS Big Sur

Učinak: lokalni napadači mogli su putem korisnikova zaslona za brzo prebacivanje vidjeti radnu površinu prethodno prijavljenog korisnika

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30908: ASentientBot

xar

Dostupno za: macOS Big Sur

Učinak: raspakiravanjem zlonamjerne arhive napadačima se moglo omogućiti zapisivanje proizvoljnih datoteka

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30833: Richard Warren (NCC Group)

Unos je dodan 19. siječnja 2022.

zsh

Dostupno za: macOS Big Sur

Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s naslijeđenim dozvolama riješen je dodatnim ograničenjima.

CVE-2021-30892: Jonathan Bar Or (Microsoft)

Dodatna zahvala

iCloud

Na pomoći zahvaljujemo Ryanu Pickrenu (ryanpickren.com).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: