A macOS Big Sur 11.6.2 biztonsági változásjegyzéke
Ez a dokumentum a macOS Big Sur 11.6.2 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.6.2
Archive Utility
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30950: @gorelics
Bluetooth
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások fel tudták fedni a kernelmemóriát
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2021-30931: Weiteng Chen, Zheng Zhang és Zhiyun Qian (UC Riverside), illetve Yu Wang (Didi Research America)
Bluetooth
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2021-30935: anonim kutató
ColorSync
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy, az ICC-profilok feldolgozási módjában fennálló memóriasérülési hibát.
CVE-2021-30942: Mateusz Jurczyk (Google Project Zero)
CoreAudio
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2021-30957: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.
CVE-2021-30962: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2021-30959: JunDong Xie (Ant Security Light-Year Lab)
CVE-2021-30961: JunDong Xie (Ant Security Light-Year Lab)
CVE-2021-30963: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egy rosszindulatú hangfájl lejátszása tetszőleges programkód végrehajtására adott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-30958: JunDong Xie (Ant Security Light-Year Lab)
Crash Reporter
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30945: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020; mindketten: Tencent Security Xuanwu Lab, xlab.tencent.com)
File Provider
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.
Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2021-31007: Fitzl Csaba (@theevilbit; Offensive Security)
FontParser
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-31013: Daniel Lim Wee Soong, STAR Labs
Game Center
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30895: Denis Tokarev (@illusionofcha0s)
Graphics Drivers
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2021-30977: Jack Dates (RET2 Systems, Inc.)
Help Viewer
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott URL-címek feldolgozása egy, a lemezen lévő fájlból történő váratlan JavaScript-végrehajtást idézhetett elő.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2021-30969: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020; mindketten: Tencent Security Xuanwu Lab, xlab.tencent.com)
ImageIO
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30939: Mickey Jin (@patch1t, Trend Micro), Jaewon Min (Cisco Talos), Rui Yang és Xingwei Lin (Ant Security Light-Year Lab)
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2021-30981: Liu Long (Ant Security Light-Year Lab), Jack Dates (RET2 Systems, Inc.)
IOUSBHostFamily
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók váratlan alkalmazásleállást, illetve halommemória-sérülést tudtak előidézni.
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2021-30982: Weiteng Chen, Zheng Zhang és Zhiyun Qian (UC Riverside), illetve Yu Wang (Didi Research America)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2021-30927: Xinru Chi (Pangu Lab)
CVE-2021-30980: Xinru Chi (Pangu Lab)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.
CVE-2021-30937: Sergei Glazunov (Google Project Zero)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30949: Ian Beer (Google Project Zero)
LaunchServices
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2021-30990: Ron Masas (BreakPoint.sh)
LaunchServices
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30976: chenyuwang (@mzzzz__) és Kirin (@Pwnrin; mindketten: Tencent Security Xuanwu Lab)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2021-30929: Rui Yang és Xingwei Lin (Ant Security Light-Year Lab)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2021-30979: Mickey Jin (@patch1t; Trend Micro)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2021-30940: Rui Yang és Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30941: Rui Yang és Xingwei Lin (Ant Security Light-Year Lab)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-30973: Ye Zhang (@co0py_Cat), Baidu Security
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2021-30971: Ye Zhang (@co0py_Cat), Baidu Security
Preferences
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2021-30995: Mickey Jin (@patch1t; Trend Micro), Mickey Jin (@patch1t)
Sandbox
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások meg tudtak kerülni bizonyos adatvédelmi beállításokat.
Leírás: Hatékonyabb sandbox-korlátozásokkal elhárítottunk egy, a rögzített hivatkozások viselkedésével összefüggő érvényesség-ellenőrzési hibát.
CVE-2021-30968: Fitzl Csaba (@theevilbit; Offensive Security)
Sandbox
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy alkalmazások hozzá tudtak férni a felhasználói fájlokhoz.
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2021-30947: Fitzl Csaba (@theevilbit; Offensive Security)
Sandbox
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások meg tudtak kerülni bizonyos adatvédelmi beállításokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30946: @gorelics és Ron Masas (BreakPoint.sh)
Script Editor
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott OSAX parancsfájl-értelmezési bővítmények meg tudták kerülni a Gatekeeper ellenőrzéseit és a sandbox-korlátozásokat.
Leírás: A parancsfájl-értelmezési szótárak megtekintésekor történő JavaScript-végrehajtás letiltásával hárítottuk el a problémát.
CVE-2021-30975: Ryan Pickren (ryanpickren.com)
SMB
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultsággal.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-31002: Peter Nguyễn Vũ Hoàng, STAR Labs
TCC
A következőhöz érhető el: macOS Big Sur
Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30767: @gorelics
TCC
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30970: Jonathan Bar Or (Microsoft)
TCC
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást tudtak előidézni az Endpoint Security-klienseknél.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30965: Fitzl Csaba (@theevilbit; Offensive Security)
Wi-Fi
A következőhöz érhető el: macOS Big Sur
Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30938: Xinru Chi (Pangu Lab)
További köszönetnyilvánítás
Admin Framework
Köszönjük Simon Andersen (Aarhus University) és Pico Mitchell segítségét.
Bluetooth
Köszönjük Haram Park és a Korea University segítségét.
ColorSync
Köszönjük Mateusz Jurczyk (Google Project Zero) segítségét.
Contacts
Köszönjük Minchan Park (03stin) segítségét.
Kernel
Köszönjük Amit Klein (Center for Research in Applied Cryptography and Cyber Security, Bar-Ilan University) segítségét.
Model I/O
Köszönjük Rui Yang és Xingwei Lin (Ant Security Light-Year Security Lab) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.