Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.4
Objavljeno 24. svibnja 2021.
AMD
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30678: Yu Wang (Didi Research America)
AMD
Dostupno za: macOS Big Sur
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30676: shrek_wzw
App Store
Dostupno za: macOS Big Sur
Učinak: neka bi zlonamjerna aplikacija mogla izaći izvan svoje memorije za testiranje
Opis: problem s obradom puta riješen je poboljšanom provjerom valjanosti.
CVE-2021-30688: Thijs Alkemade (Computest Research Division)
AppleScript
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30669: Yair Hoffman
Audio
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30707: hjy79425575 u suradnji s inicijativom Zero Day (Trend Micro)
Audio
Dostupno za: macOS Big Sur
Učinak: parsiranjem zlonamjerne audiodatoteke moglo je doći do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30685: Mickey Jin (@patch1t) (Trend Micro)
Bluetooth
Dostupno za: macOS Big Sur
Učinak: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem
Opis: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
CVE-2021-30672: say2 (ENKI)
Unos je dodan 21. srpnja 2021.
Core Services
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernih audiodatoteka moglo bi doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30686: Mickey Jin (Trend Micro)
CoreText
Dostupno za: macOS Big Sur
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjernog fonta može se otkriti procesna memorija.
CVE-2021-30733: Sunglin (Knownsec 404)
CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)
Unos je dodan 21. srpnja 2021.
Crash Reporter
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30727: Cees Elzinga
CVMS
Dostupno za: macOS Big Sur
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
Dock
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi pristupiti povijesti korisnikovih poziva
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30771: Mickey Jin (@patch1t) (Trend Micro), CFF (Topsec Alpha Team)
Unos je dodan 19. siječnja 2022.
FontParser
Dostupno za: macOS Big Sur
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjernog fonta može se otkriti procesna memorija
CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)
Unos je dodan 21. srpnja 2021.
Graphics Drivers
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30684: Liu Long (Ant Security Light-Year Lab)
Graphics Drivers
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30735: Jack Dates iz tvrtke RET2 Systems, Inc. (@ret2systems) u suradnji s inicijativom Zero Day (Trend Micro)
Heimdal
Dostupno za: macOS Big Sur
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi uzrokovati uskraćivanje usluge ili otkriti sadržaj memorije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod, što može uzrokovati ugrožavanje korisničkih podataka
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30700: Ye Zhang(@co0py_Cat) (Baidu Security)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30701: Mickey Jin (@patch1t) (Trend Micro) i Ye Zhang (Baidu Security)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne ASTC datoteke može doći do otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30705: Ye Zhang (Baidu Security)
ImageIO
Dostupno za: macOS Big Sur
Učinak: taj je problem riješen poboljšanim provjerama
Opis: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka.
CVE-2021-30706: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), Jzhu u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 21. srpnja 2021.
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: problem s čitanjem izvan opsega riješen je uklanjanjem koda sa slabim točkama.
CVE-2021-30719: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
CVE-2021-30726: Yinyi Wu (@3ndy1) iz tvrtke Qihoo 360 Vulcan Team
IOUSBostFamily
Dostupno za: macOS Big Sur
Učinak: taj je problem riješen poboljšanim provjerama
Opis: aplikacija bez ovlasti mogla bi dohvatiti USB uređaje.
CVE-2021-30731: UTM (@UTMapp)
Unos je dodan 21. srpnja 2021.
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30704: anonimni istraživač
Kernel
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne poruke može se prouzročiti odbijanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30715: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2021-30736: Ian Beer (Google Project Zero)
Kernel
Dostupno za: macOS Big Sur
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Kernel
Dostupno za: macOS Big Sur
Učinak: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom
Opis: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti.
CVE-2021-30703: anonimni istraživač
Unos je dodan 21. srpnja 2021.
Kext Management
Dostupno za: macOS Big Sur
Učinak: lokalni korisnik mogao bi učitati nepotpisana proširenja kernela
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30680: Csaba Fitzl (@theevilbit) (Offensive Security)
LaunchServices
Dostupno za: macOS Big Sur
Učinak: neka bi zlonamjerna aplikacija mogla izaći izvan svoje memorije za testiranje
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2021-30677: Ron Waisberg (@epsilan)
Login Window
Dostupno za: macOS Big Sur
Učinak: osoba s fizičkim pristupom Mac računalu mogla bi zaobići prozor za prijavu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)
Dostupno za: macOS Big Sur
Učinak: napadač s povlaštenim mrežnim ovlastima mogao bi pogrešno predstaviti stanje aplikacije
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30696: Fabian Ising i Damian Poddebniak sa Sveučilišta primijenjenih znanosti u Münsteru
MediaRemote
Dostupno za: macOS Big Sur
Učinak: problem s privatnošću na zaslonu Izvodi se riješen je poboljšanim dozvolama
Opis: lokalni napadač možda će moći vidjeti podatke za Izvodi se na zaključanom zaslonu.
CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)
Unos je dodan 21. srpnja 2021.
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem s otkrivanjem informacija riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30723: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30691: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30692: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30694: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30725: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30746: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30693: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30695: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30708: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30709: Mickey Jin (@patch1t) (Trend Micro)
NSOpenPanel
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-36226
CVE-2020-36227
CVE-2020-36223
CVE-2020-36224
CVE-2020-36225
CVE-2020-36221
CVE-2020-36228
CVE-2020-36222
CVE-2020-36230
CVE-2020-36229
PackageKit
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: problem s logikom provjere valjanosti putanje za fiksne veze riješen je poboljšanom sanacijom putanja.
CVE-2021-30738: Qingyang Chen (Topsec Alpha Team) i Csaba Fitzl (@theevilbit) (Offensive Security)
Sandbox
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2021-30751: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 21. srpnja 2021.
Security
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog certifikata moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije u dekoderu ASN.1 riješen je uklanjanjem koda sa slabim točkama.
CVE-2021-30737: xerub
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi izazvati odbijanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s privilegiranim mrežnim ovlastima možda može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: problem s obradom puta riješen je poboljšanom provjerom valjanosti.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: problem s otkrivanjem informacija riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
Software Update
Dostupno za: macOS Big Sur
Učinak: osoba s fizičkim pristupom Mac računalu može zaobići prozor za prijavu tijekom ažuriranja softvera
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30668: Syrus Kimiagar i Danilo Paffi Monteiro
SoftwareUpdate
Dostupno za: macOS Big Sur
Učinak: korisnik bez ovlasti mogao bi izmijeniti ograničene postavke
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30718: SiQian Wei (ByteDance Security)
TCC
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija možda će moći slati neovlaštene Appleove događaje u Finder
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30671: Ryan Bell (@iRyanBell)
TCC
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2021-30713: anonimni istraživač
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem podrijetla iz više izvora s elementima iframe riješen je poboljšanim praćenjem sigurnosnog podrijetla.
CVE-2021-30744: Dan Hite (jsontop)
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-21779: Marcin Towalski (Cisco Talos)
WebKit
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30682: Prakash (@1lastBr3ath)
Unos je ažuriran 21. srpnja 2021.
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30689: anonimni istraživač
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2021-30749: anonimni istraživač i korisnik mipu94 (laboratorij SEFCOM, ASU) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2021-30734: Jack Dates iz tvrtke RET2 Systems, Inc. (@ret2systems) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: macOS Big Sur
Učinak: zlonamjerna web-stranica mogla bi pristupiti ograničenim ulazima na proizvoljnim poslužiteljima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30720: David Schütz (@xdavidhu)
WebRTC
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-23841: Tavis Ormandy iz tvrtke Google
CVE-2021-30698: Tavis Ormandy iz tvrtke Google
Dodatna zahvala
App Store
Željeli bismo zahvaliti Thijsu Alkemadeu iz tvrtke Computest Research Division na pomoći.
CoreCapture
Željeli bismo zahvaliti Zuozhiju Fanu (@pattern_F_) (Ant-financial TianQiong Security Lab) na pomoći.
ImageIO
Željeli bismo zahvaliti Jzhuu koji surađuje s inicijativom Zero Day (Trend Micro) i anonimnom istraživaču na pomoći.
Mail Drafts
Željeli bismo zahvaliti Lauritzu Holtmannu (@_lauritz_) na pomoći.
WebKit
Željeli bismo zahvaliti Chrisu Sallsu (@salls) (Makai Security) na pomoći.