Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Big Sur 11.5

Objavljeno 21. srpnja 2021.

AMD Kernel

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30805: ABC Research s.r.o

Analytics

Dostupno za: macOS Big Sur

Učinak: lokalni napadač mogao bi pristupiti analitičkim podacima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Unos je dodan 25. listopada 2021. i ažuriran 25. svibnja 2022.

AppKit

Dostupno za: macOS Big Sur

Učinak: otvaranjem zlonamjerno stvorene datoteke aplikacija se može neočekivano zatvoriti ili se može izvršiti proizvoljni kod

Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.

CVE-2021-30790: hjy79425575 i inicijativa Zero Day (Trend Micro)

App Store

Dostupno za: macOS Big Sur

Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2021-31006: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 25. svibnja 2022.

Audio

Dostupno za: macOS Big Sur

Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30781: tr3e

AVEVideoEncoder

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30748: George Nosenko

CoreAudio

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30775: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

Dostupno za: macOS Big Sur

Učinak: reprodukcija zlonamjerne audiodatoteke mogla je izazvati neočekivano zatvaranje aplikacije

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2021-30776: JunDong Xie (Ant Security Light-Year Lab)

CoreGraphics

Dostupno za: macOS Big Sur

Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30786: ryuzaki

CoreServices

Dostupno za: macOS Big Sur

Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30772: Zhongcheng Li (CK01)

CoreServices

Dostupno za: macOS Big Sur

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2021-30783: Ron Waisberg (@epsilan)

CoreStorage

Dostupno za: macOS Big Sur

Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti.

CVE-2021-30777: Tim Michaud (@TimGMichaud) (Zoom Video Communications) i Gary Nield (ECSC Group plc)

CoreText

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30789: Mickey Jin (@patch1t) (Trend Micro), Sunglin (tim Knownsec 404)

Crash Reporter

Dostupno za: macOS Big Sur

Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2021-30774: Yizhuo Wang (Group of Software Security In Progress (G.O.S.S.I.P) sa šangajskog sveučilišta Jiao Tong)

CVMS

Dostupno za: macOS Big Sur

Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30780: Tim Michaud (@TimGMichaud) (Zoom Video Communications)

dyld

Dostupno za: macOS Big Sur

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2021-30768: Linus Henze (pinauten.de)

Family Sharing

Dostupno za: macOS Big Sur

Učinak: zlonamjerna aplikacija mogla bi pristupiti podacima o računima uz koje korisnik koristi Dijeljenje s obitelji

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2021-30817: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 25. listopada 2021.

Find My

Dostupno za: macOS Big Sur

Učinak: zlonamjerna aplikacija mogla je pristupiti podacima aplikacije Nađi moj

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2021-30804: Csaba Fitzl (@theevilbit) (Offensive Security), Wojciech Reguła (@_r3ggi) (SecuRing)

Unos je dodan 22. prosinca 2022. i ažuriran 2. svibnja 2023.

FontParser

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30760: Sunglin (tim Knownsec 404)

FontParser

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne tiff datoteke moglo je doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30788: tr3e i inicijativa Zero Day (Trend Micro)

FontParser

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2021-30759: hjy79425575 u suradnji s projektom Zero Day Initiative (Trend Micro)

Identity Services

Dostupno za: macOS Big Sur

Učinak: zlonamjerna aplikacija mogla bi pristupiti nedavnim kontaktima korisnika

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit) (Offensive Security) 

Unos je ažuriran 18. studenoga 2021.

ImageIO

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) (Baidu Security)

ImageIO

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2021-30785: CFF (Topsec Alpha Team), Mickey Jin (@patch1t) (Trend Micro)

Intel Graphics Driver

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30787: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Intel Graphics Driver

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30766: Liu Long (Ant Security Light-Year Lab)

CVE-2021-30765: Yinyi Wu (@3ndy1) (Qihoo 360 Vulcan Team), Liu Long (Ant Security Light-Year Lab) 

Unos je ažuriran 18. studenoga 2021.

IOKit

Dostupno za: macOS Big Sur

Učinak: lokalni napadači mogli su izvršiti kod na Appleovu sigurnosnom čipu T2

Opis: više problema riješeno je poboljšanom logikom.

CVE-2021-30784: George Nosenko

Kernel

Dostupno za: macOS Big Sur

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30793: Zuozhi Fan (@pattern_F_) (Ant Security TianQiong Lab)

Kext Management

Dostupno za: macOS Big Sur

Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2021-30778: Csaba Fitzl (@theevilbit) (Offensive Security)

LaunchServices

Dostupno za: macOS Big Sur

Učinak: zlonamjerne aplikacije mogle bi izaći izvan ograničene memorije

Opis: problem je riješen poboljšanom sanacijom okruženja.

CVE-2021-30677: Ron Waisberg (@epsilan)

Unos je dodan 25. listopada 2021.

libxml2

Dostupno za: macOS Big Sur

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-3518

Model I/O

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne slike moglo bi doći do uskraćivanja usluge

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2021-30796: Mickey Jin (@patch1t) (Trend Micro)

Model I/O

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30792: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Model I/O

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjerno stvorene datoteke mogli su se otkriti korisnički podaci

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30791: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Networking

Dostupno za: macOS Big Sur

Učinak: otvaranjem zlonamjerne web-stranice moglo je doći do odbijanje usluge

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1821: Georgi Valkov (httpstorm.com)

Unos je dodan 25. listopada 2021.

Sandbox

Dostupno za: macOS Big Sur

Učinak: zlonamjerna aplikacija mogla bi pristupiti ograničenim datotekama

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30782: Csaba Fitzl (@theevilbit) (Offensive Security)

Security

Dostupno za: macOS Big Sur

Učinak: neka bi aplikacija mogla dobiti veće ovlasti

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2021-31004: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 25. svibnja 2022.

TCC

Dostupno za: macOS Big Sur

Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30798: Mickey Jin (@patch1t) (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je ažuriran 18. studenoga 2021.

WebKit

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30758: Christoph Guttandin (Media Codings)

WebKit

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30795: Sergei Glazunov (Google Project Zero)

WebKit

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30797: Ivan Fratric (Google Project Zero)

WebKit

Dostupno za: macOS Big Sur

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2021-30799: Sergei Glazunov (Google Project Zero)

Dodatna zahvala

configd

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).

CoreText

Željeli bismo zahvaliti Mickeyu Jinu (@patch1t) (Trend Micro) na pomoći.

crontabs

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).

Power Management

Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) (laboratorij Alibaba Security Pandora), Csabi Fitzlu (@theevilbit), Lisandru Ubiedou (@_lubiedo) (laboratorij Stratosphere)

Unos dodan 22. prosinca 2022.

Sandbox

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).

Spotlight

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).

sysdiagnose

Željeli bismo zahvaliti Carteru Jonesu (linkedin.com/in/carterjones/) i Timu Michaudu (@TimGMichaud) (Zoom Video Communications) na pomoći.

Unos je dodan 25. svibnja 2022.

 

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: