A macOS Big Sur 11.3 biztonsági változásjegyzéke

Ez a dokumentum a macOS Big Sur 11.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Big Sur 11.3

APFS

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1853: Gary Nield (ECSC Group plc) és Tim Michaud (@TimGMichaud, Zoom Video Communications)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2021-1849: Siguza

Apple Neural Engine

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) és Wish Wu (吴潍浠, Ant Group Tianqiong Security Lab)

Archive Utility

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1810: Rasmus Sten (@pajp, F-Secure)

Audio

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)

CFNetwork

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2021-1857: anonim kutató

Compression

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát

Leírás: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

CVE-2021-30752: Ye Zhang (@co0py_Cat), Baidu Security

CoreAudio

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)

CoreFoundation

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-30659: Thijs Alkemade (Computest)

CoreGraphics

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1847: Xuwei Liu (Purdue University)

CoreText

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)

curl

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Rosszindulatú szerverek fel tudtak fedni aktív szolgáltatásokat.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-8284: Marian Rehak

curl

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A támadók érvényesnek tűnő, de valójában megtévesztő OCSP-válaszokat tudtak adni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-8286: anonim kutató

curl

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-8285: xnynx

DiskArbitration

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: Engedélyezési hiba állt fenn a DiskArbitration modulban. További tulajdonjog-ellenőrzésekkel hárították el a problémát.

CVE-2021-1784: Mikko Kenttälä (@Turmio_, SensorFu), Fitzl Csaba (@theevilbit, Offensive Security) és egy anonim kutató

FaceTime

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy csengő CallKit-hívás elnémításakor a némítás nem aktiválódott.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1872: Siraj Zaneer (Facebook)

FontParser

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1881: anonim kutató, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) és Hou JingYi (@hjy79425575, Qihoo 360)

Foundation

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-1813: Cees Elzinga

Heimdal

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szerverüzenet feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1880: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-30653: Ye Zhang (Baidu Security)

CVE-2021-1814: Ye Zhang (Baidu Security), Mickey Jin és Qi Sun (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1843: Ye Zhang (Baidu Security)

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1885: CFF (Topsec Alpha Team)

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-1858: Mickey Jin (Trend Micro)

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát

Leírás: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

CVE-2021-30743: Ye Zhang (@co0py_Cat), Baidu Security, CFF (Topsec Alpha Team), Jzhu a Trend Micro Zero Day Initiative közreműködőjeként, Xingwei Lin (Ant Security Light-Year Lab), CFF (Topsec Alpha Team), Jeonghoon Shin (@singi21a) (THEORI), a Trend Micro Zero Day Initiative közreműködőjeként

Installer

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.

Leírás: A problémát a fájlmetaadatok hatékonyabb kezelésével hárítottuk el.

CVE-2021-30658: Wojciech Reguła (@_r3ggi; SecuRing)

Intel Graphics Driver

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-1841: Jack Dates (RET2 Systems, Inc.)

CVE-2021-1834: ABC Research s.r.o., a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások fel tudták fedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2021-1860: @0xalsr

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1840: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1851: @0xalsr

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az átmásolt fájlok nem a várt fájlengedélyekkel rendelkeztek.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-1832: anonim kutató

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások fel tudták fedni a kernelmemória tartalmát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30660: Alex Plaskett

libxpc

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-30652: James Hutchins

libxslt

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2021-1875: megtaláló: OSS-Fuzz

Login Window

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások hozzá tudtak férni személyes információkhoz.

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2021-1824: Wojciech Reguła (@_r3ggi, SecuRing)

Notes

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy a zárolt Jegyzetek tartalma váratlanul feloldódott.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1859: Syed Ali Shuja (@SyedAliShuja, Colour King Pvt. Ltd)

NSRemoteView

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-1876: Matthew Denton (Google Chrome)

Preferences

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2021-1815: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com)

Safari

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webhelyek nyomon tudták követni a felhasználókat azáltal, hogy beállították az állapotot a gyorsítótárban.

Leírás: Probléma lépett fel a gyorsítótár foglaltságának meghatározásával. Hatékonyabb logika alkalmazásával küszöböltük ki a problémát.

CVE-2021-1861: Konstantinos Solomos (University of Illinois at Chicago)

Safari

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webhelyek kényszeríteni tudtak felesleges hálózati kapcsolatokat a weblapikon beolvasására.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1855: Håvard Mikkelsen Ottestad (HASMAC AS)

SampleAnalysis

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1868: Tim Michaud (Zoom Communications)

Sandbox

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben hozzá tudtak férni a felhasználó legutóbbi kontaktjaihoz.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-30750: Fitzl Csaba (@theevilbit; Offensive Security)

smbx

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2021-1878: Aleksandar Nikolic (Cisco Talos, talosintelligence.com)

System Preferences

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30657: Cedric Owens (@cedowens)

TCC

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú, sandboxon kívüli alkalmazások meg tudták kerülni az adatvédelmi beállításokat olyan rendszeren, ahol engedélyezve volt a Távoli bejelentkezés.

Leírás: A probléma azáltal hárult el, hogy hozzáadtunk egy új Távoli bejelentkezési lehetőséget, amellyel engedélyezni lehet a Teljes lemezhozzáférést a Secure Shell-munkamenetek esetén.

CVE-2021-30856: Fitzl Csaba (@theevilbit, Offensive Security), Andy Grant (Zoom Video Communications), Thijs Alkemade (Computest Research Division), Wojciech Reguła (SecuRing, wojciechregula.blog), Cody Thomas (SpecterOps), Mickey Jin (Trend Micro)

tcpdump

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-8037: anonim kutató

Time Machine

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-1839: Tim Michaud (@TimGMichaud, Zoom Video Communications) és Gary Nield (ECSC Group plc)

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1817: zhunki

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-1826: anonim kutató

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2021-1820: André Bargull

WebKit Storage

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30661: yangkang (@dnpushme, 360 ATA)

WebRTC

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-7463: Megan2013678

Wi-Fi

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1828: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)

Wi-Fi

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2021-1829: Tielei Wang (Pangu Lab)

Wi-Fi

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultsággal.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-30655: Gary Nield (ECSC Group plc) és Tim Michaud (@TimGMichaud, Zoom Video Communications) és Wojciech Reguła (@_r3ggi, SecuRing)

Wi-Fi

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát

Leírás: Előfordult, hogy puffertúlcsordulás következtében tetszőleges kód végrehajtására került sor.

CVE-2021-1770: Jiska Classen (@naehrdine), Secure Mobile Networking Lab, Darmstadti Műszaki Egyetem

WindowServer

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott alkalmazások biztonságos szövegmezőkből váratlanul ki tudtak szivárogtatni felhasználói hitelesítési adatokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy API-hibát a Kisegítő lehetőségek TCC-engedélyeiben.

CVE-2021-1873: anonim kutató

További köszönetnyilvánítás

AirDrop

Köszönjük @maxzks segítségét.

CoreAudio

Köszönjük egy anonim kutató segítségét.

CoreCrypto

Köszönjük Andy Russon (Orange Group) segítségét.

File Bookmark

Köszönjük egy anonim kutató segítségét.

Foundation

Köszönjük CodeColorist (Ant-Financial LightYear Labs) segítségét.

Kernel

Köszönjük Antonio Frighetto (Politecnico di Milano), a GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_; SensorFu) és Proteas segítségét.

Mail

Köszönjük Petter Flink, SecOps (Bonnier News) és egy anonim kutató segítségét.

Safari

Köszönjük Sahil Mehra (Nullr3x) és Shivam Kamboj Dattana (Sechunt3r) segítségét.

Security

Köszönjük Xingwei Lin (Ant Security Light-Year Lab) és john (@nyan_satan) segítségét.

sysdiagnose

Köszönjük Tim Michaud (@TimGMichaud; Leviathan) segítségét.

WebKit

Köszönjük Emilio Cobos Álvarez (Mozilla) segítségét.

WebSheet

Köszönjük Patrick Clover segítségét.