A macOS Big Sur 11.4 biztonsági változásjegyzéke
Ez a dokumentum a macOS Big Sur 11.4 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.4
AMD
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30678: Yu Wang (Didi Research America)
AMD
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30676: shrek_wzw
App Store
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2021-30688: Thijs Alkemade (Computest Research Division)
AppleScript
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30669: Yair Hoffman
Audio
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30707: hjy79425575 a Trend Micro Zero Day Initiative kezdeményezés keretében
Audio
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30685: Mickey Jin (@patch1t), Trend Micro
Bluetooth
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát
Leírás: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni
CVE-2021-30672: say2 (ENKI)
Core Services
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30686: Mickey Jin (Trend Micro)
CoreText
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát
Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
CVE-2021-30733: Sunglin (Knownsec 404)
CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)
Crash Reporter
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30727: Cees Elzinga
CVMS
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30724: Mickey Jin (@patch1t), Trend Micro
Dock
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználók hívási előzményeihez.
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2021-30771: Mickey Jin (@patch1t, Trend Micro), CFF (Topsec Alpha Team)
FontParser
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát
Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére
CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)
Graphics Drivers
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30684: Liu Long (Ant Security Light-Year Lab)
Graphics Drivers
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2021-30735: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében
Heimdal
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást idézhettek elő, illetve esetlegesen felfedhették a memória tartalmát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások tetszőleges kódot tudtak végrehajtani, aminek következtében jogosulatlanul hozzá tudtak férni a felhasználói információkhoz.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30687: Hou JingYi (@hjy79425575), Qihoo 360
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30700: Ye Zhang (@co0py_Cat), Baidu Security
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30701: Mickey Jin (@patch1t), Trend Micro és Ye Zhang, Baidu Security
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott ASTC-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30705: Ye Zhang (Baidu Security)
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát
Leírás: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
CVE-2021-30706: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, Jzhu, a Trend Micro Zero Day Initiative közreműködőjeként
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: A sebezhető kód eltávolításával elhárítottunk egy határérték-túllépéssel kapcsolatos olvasási problémát.
CVE-2021-30719: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
CVE-2021-30726: Yinyi Wu (@3ndy1), Qihoo 360 Vulcan Team
IOUSBHostFamily
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát
Leírás: A jogosulatlan alkalmazások rögzíteni tudtak USB-eszközöket.
CVE-2021-30731: UTM (@UTMapp)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30704: anonim kutató
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30715: National Cyber Security Centre (NCSC, Egyesült Királyság)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2021-30736: Ian Beer (Google Project Zero)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30739: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát
Leírás: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
CVE-2021-30703: anonim kutató
Kext Management
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A helyi felhasználók be tudtak tölteni aláíratlan kernelbővítményeket.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30680: Fitzl Csaba (@theevilbit; Offensive Security)
LaunchServices
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.
CVE-2021-30677: Ron Waisberg (@epsilan)
Login Window
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A Machez fizikailag hozzáférő személy megkerülhette a bejelentkezési ablakot.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságot megszerző támadók bizonyos esetekben képesek voltak hamisan megjeleníteni az alkalmazások állapotát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30696: Fabian Ising és Damian Poddebniak, Münsteri Műszaki Főiskola
MediaRemote
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az engedélyek kijavításával megoldottunk adatvédelmi problémát a Most játszott funkcióban
Leírás: A helyi támadók bizonyos esetekben megtekinthették a zárolási képernyőn megjelenített Most játszott információkat.
CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.
CVE-2021-30723: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30725: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-30746: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2021-30693: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30695: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-30708: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30709: Mickey Jin (@patch1t), Trend Micro
NSOpenPanel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2020-36226
CVE-2020-36227
CVE-2020-36223
CVE-2020-36224
CVE-2020-36225
CVE-2020-36221
CVE-2020-36228
CVE-2020-36222
CVE-2020-36230
CVE-2020-36229
PackageKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások felül tudtak írni tetszőleges fájlokat.
Leírás: Az útvonal tisztításának javításával megoldottunk egy problémát, amely a rögzített hivatkozások útvonal-ellenőrzési logikájával kapcsolatban jelentkezett.
CVE-2021-30738: Qingyang Chen, Topsec Alpha Team és Csaba Fitzl (@theevilbit), Offensive Security
Sandbox
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások meg tudtak kerülni bizonyos adatvédelmi beállításokat.
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2021-30751: Fitzl Csaba (@theevilbit; Offensive Security)
Security
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: A sérülékeny kód eltávolításával megoldottunk egy memóriasérüléssel kapcsolatos problémát, amely az ASN.1 dekódert érintette.
CVE-2021-30737: xerub
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságot megszerző támadók szolgáltatásmegtagadást tudtak előidézni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
Software Update
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A Machez fizikailag hozzáférő személy megkerülhette a bejelentkezési ablakot a szoftverfrissítés során.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30668: Syrus Kimiagar és Danilo Paffi Monteiro
SoftwareUpdate
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott beállításokat.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30718: SiQian Wei, ByteDance Security
TCC
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazás képes lehet nem engedélyezett Apple-eseményeket küldeni a Finderbe
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2021-30671: Ryan Bell (@iRyanBell)
TCC
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben meg tudták kerülni az adatvédelmi beállításokat. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2021-30713: anonim kutató
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: A biztonsági eredet fejlettebb követése megoldotta az iFrame-elemek származásával kapcsolatos problémát.
CVE-2021-30744: Dan Hite (jsontop)
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2021-21779: Marcin Towalski (Cisco Talos)
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30682: Prakash (@1lastBr3ath)
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30689: anonim kutató
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2021-30749: anonim kutató és mipu94 a SEFCOM-laborból (ASU). a Trend Micro Zero Day Initiative kezdeményezés keretében
CVE-2021-30734: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy a rosszindulatú webhelyek hozzá tudtak férni tetszőleges kiszolgálók korlátozott portjaihoz.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30720: David Schütz (@xdavidhu)
WebRTC
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2021-23841: Tavis Ormandy (Google)
CVE-2021-30698: Tavis Ormandy (Google)
További köszönetnyilvánítás
App Store
Köszönjük Thijs Alkemade (Computest Research Division) segítségét.
CoreCapture
Köszönjük Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab) segítségét.
ImageIO
Köszönjük a Trend Micro Zero Day Initiative kezdeményezés keretei között eljáró Jzhu és egy anonim kutató segítségét.
Mail Drafts
Köszönjük Lauritz Holtmann (@_lauritz_) segítségét.
WebKit
Szeretnénk megköszönni Chris Salls (@salls), a Makai Security munkatársa segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.