A macOS Big Sur 11.4 biztonsági változásjegyzéke

Ez a dokumentum a macOS Big Sur 11.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Big Sur 11.4

AMD

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30678: Yu Wang (Didi Research America)

AMD

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30676: shrek_wzw

App Store

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2021-30688: Thijs Alkemade (Computest Research Division)

AppleScript

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30669: Yair Hoffman

Audio

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30707: hjy79425575 a Trend Micro Zero Day Initiative kezdeményezés keretében

Audio

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30685: Mickey Jin (@patch1t), Trend Micro

Bluetooth

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát

Leírás: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni

CVE-2021-30672: say2 (ENKI)

Core Services

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2021-30681: Zhongcheng Li (CK01)

CoreAudio

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30686: Mickey Jin (Trend Micro)

CoreText

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát

Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

CVE-2021-30733: Sunglin (Knownsec 404)

CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)

Crash Reporter

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30727: Cees Elzinga

CVMS

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30724: Mickey Jin (@patch1t), Trend Micro

Dock

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználók hívási előzményeihez.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2021-30673: Josh Parnham (@joshparnham)

FontParser

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-30771: Mickey Jin (@patch1t, Trend Micro), CFF (Topsec Alpha Team)

FontParser

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát

Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére

CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)

Graphics Drivers

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30684: Liu Long (Ant Security Light-Year Lab)

Graphics Drivers

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-30735: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében

Heimdal

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást idézhettek elő, illetve esetlegesen felfedhették a memória tartalmát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások tetszőleges kódot tudtak végrehajtani, aminek következtében jogosulatlanul hozzá tudtak férni a felhasználói információkhoz.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30687: Hou JingYi (@hjy79425575), Qihoo 360

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30700: Ye Zhang (@co0py_Cat), Baidu Security

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30701: Mickey Jin (@patch1t), Trend Micro és Ye Zhang, Baidu Security

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott ASTC-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30705: Ye Zhang (Baidu Security)

ImageIO

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

Leírás: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

CVE-2021-30706: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, Jzhu, a Trend Micro Zero Day Initiative közreműködőjeként

Intel Graphics Driver

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: A sebezhető kód eltávolításával elhárítottunk egy határérték-túllépéssel kapcsolatos olvasási problémát.

CVE-2021-30719: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Intel Graphics Driver

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)

CVE-2021-30726: Yinyi Wu (@3ndy1), Qihoo 360 Vulcan Team

IOUSBHostFamily

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

Leírás: A jogosulatlan alkalmazások rögzíteni tudtak USB-eszközöket.

CVE-2021-30731: UTM (@UTMapp)

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30704: anonim kutató

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30715: National Cyber Security Centre (NCSC, Egyesült Királyság)

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2021-30736: Ian Beer (Google Project Zero)

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30739: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)

Kernel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát

Leírás: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

CVE-2021-30703: anonim kutató

Kext Management

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A helyi felhasználók be tudtak tölteni aláíratlan kernelbővítményeket.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30680: Fitzl Csaba (@theevilbit; Offensive Security)

LaunchServices

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.

CVE-2021-30677: Ron Waisberg (@epsilan)

Login Window

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A Machez fizikailag hozzáférő személy megkerülhette a bejelentkezési ablakot.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)

Mail

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A magas hálózati jogosultságot megszerző támadók bizonyos esetekben képesek voltak hamisan megjeleníteni az alkalmazások állapotát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30696: Fabian Ising és Damian Poddebniak, Münsteri Műszaki Főiskola

MediaRemote

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az engedélyek kijavításával megoldottunk adatvédelmi problémát a Most játszott funkcióban

Leírás: A helyi támadók bizonyos esetekben megtekinthették a zárolási képernyőn megjelenített Most játszott információkat.

CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)

Model I/O

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2021-30723: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30725: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30746: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-30693: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30695: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30708: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30709: Mickey Jin (@patch1t), Trend Micro

NSOpenPanel

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-36226

CVE-2020-36227

CVE-2020-36223

CVE-2020-36224

CVE-2020-36225

CVE-2020-36221

CVE-2020-36228

CVE-2020-36222

CVE-2020-36230

CVE-2020-36229

PackageKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások felül tudtak írni tetszőleges fájlokat.

Leírás: Az útvonal tisztításának javításával megoldottunk egy problémát, amely a rögzített hivatkozások útvonal-ellenőrzési logikájával kapcsolatban jelentkezett.

CVE-2021-30738: Qingyang Chen, Topsec Alpha Team és Csaba Fitzl (@theevilbit), Offensive Security

Sandbox

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2021-30751: Fitzl Csaba (@theevilbit; Offensive Security)

Security

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: A sérülékeny kód eltávolításával megoldottunk egy memóriasérüléssel kapcsolatos problémát, amely az ASN.1 dekódert érintette.

CVE-2021-30737: xerub

smbx

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A magas hálózati jogosultságot megszerző támadók szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)

smbx

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)

smbx

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)

smbx

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)

smbx

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)

Software Update

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A Machez fizikailag hozzáférő személy megkerülhette a bejelentkezési ablakot a szoftverfrissítés során.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30668: Syrus Kimiagar és Danilo Paffi Monteiro

SoftwareUpdate

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott beállításokat.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30718: SiQian Wei, ByteDance Security

TCC

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazás képes lehet nem engedélyezett Apple-eseményeket küldeni a Finderbe

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-30671: Ryan Bell (@iRyanBell)

TCC

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben meg tudták kerülni az adatvédelmi beállításokat. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2021-30713: anonim kutató

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: A biztonsági eredet fejlettebb követése megoldotta az iFrame-elemek származásával kapcsolatos problémát.

CVE-2021-30744: Dan Hite (jsontop)

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-21779: Marcin Towalski (Cisco Talos)

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30682: Prakash (@1lastBr3ath)

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30689: anonim kutató

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2021-30749: anonim kutató és mipu94 a SEFCOM-laborból (ASU). a Trend Micro Zero Day Initiative kezdeményezés keretében

CVE-2021-30734: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében

WebKit

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy a rosszindulatú webhelyek hozzá tudtak férni tetszőleges kiszolgálók korlátozott portjaihoz.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30720: David Schütz (@xdavidhu)

WebRTC

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2021-23841: Tavis Ormandy (Google)

CVE-2021-30698: Tavis Ormandy (Google)

További köszönetnyilvánítás

App Store

Köszönjük Thijs Alkemade (Computest Research Division) segítségét.

CoreCapture

Köszönjük Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab) segítségét.

ImageIO

Köszönjük a Trend Micro Zero Day Initiative kezdeményezés keretei között eljáró Jzhu és egy anonim kutató segítségét.

Mail Drafts

Köszönjük Lauritz Holtmann (@_lauritz_) segítségét.

WebKit

Szeretnénk megköszönni Chris Salls (@salls), a Makai Security munkatársa segítségét.