Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.4
Kiadási dátum: 2021. május 24.
AMD
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30678: Yu Wang (Didi Research America)
AMD
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30676: shrek_wzw
App Store
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2021-30688: Thijs Alkemade (Computest Research Division)
AppleScript
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30669: Yair Hoffman
Audio
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30707: hjy79425575 a Trend Micro Zero Day Initiative kezdeményezés keretében
Audio
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30685: Mickey Jin (@patch1t), Trend Micro
Bluetooth
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát
Leírás: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni
CVE-2021-30672: say2 (ENKI)
Bejegyzés hozzáadva 2021. július 21.
Core Services
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30686: Mickey Jin (Trend Micro)
CoreText
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát
Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
CVE-2021-30733: Sunglin (Knownsec 404)
CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)
Bejegyzés hozzáadva 2021. július 21.
Crash Reporter
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30727: Cees Elzinga
CVMS
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30724: Mickey Jin (@patch1t), Trend Micro
Dock
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználók hívási előzményeihez.
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2021-30771: Mickey Jin (@patch1t, Trend Micro), CFF (Topsec Alpha Team)
A bejegyzés hozzáadva: 2022. január 19.
FontParser
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát
Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére
CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)
Bejegyzés hozzáadva 2021. július 21.
Graphics Drivers
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30684: Liu Long (Ant Security Light-Year Lab)
Graphics Drivers
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2021-30735: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében
Heimdal
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást idézhettek elő, illetve esetlegesen felfedhették a memória tartalmát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások tetszőleges kódot tudtak végrehajtani, aminek következtében jogosulatlanul hozzá tudtak férni a felhasználói információkhoz.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30687: Hou JingYi (@hjy79425575), Qihoo 360
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30700: Ye Zhang (@co0py_Cat), Baidu Security
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30701: Mickey Jin (@patch1t), Trend Micro és Ye Zhang, Baidu Security
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott ASTC-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30705: Ye Zhang (Baidu Security)
ImageIO
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát
Leírás: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
CVE-2021-30706: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, Jzhu, a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés hozzáadva 2021. július 21.
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: A sebezhető kód eltávolításával elhárítottunk egy határérték-túllépéssel kapcsolatos olvasási problémát.
CVE-2021-30719: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
CVE-2021-30726: Yinyi Wu (@3ndy1), Qihoo 360 Vulcan Team
IOUSBHostFamily
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát
Leírás: A jogosulatlan alkalmazások rögzíteni tudtak USB-eszközöket.
CVE-2021-30731: UTM (@UTMapp)
Bejegyzés hozzáadva 2021. július 21.
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30704: anonim kutató
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30715: National Cyber Security Centre (NCSC, Egyesült Királyság)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2021-30736: Ian Beer (Google Project Zero)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30739: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)
Kernel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát
Leírás: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
CVE-2021-30703: anonim kutató
Bejegyzés hozzáadva 2021. július 21.
Kext Management
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A helyi felhasználók be tudtak tölteni aláíratlan kernelbővítményeket.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30680: Fitzl Csaba (@theevilbit; Offensive Security)
LaunchServices
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.
CVE-2021-30677: Ron Waisberg (@epsilan)
Login Window
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A Machez fizikailag hozzáférő személy megkerülhette a bejelentkezési ablakot.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságot megszerző támadók bizonyos esetekben képesek voltak hamisan megjeleníteni az alkalmazások állapotát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30696: Fabian Ising és Damian Poddebniak, Münsteri Műszaki Főiskola
MediaRemote
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az engedélyek kijavításával megoldottunk adatvédelmi problémát a Most játszott funkcióban
Leírás: A helyi támadók bizonyos esetekben megtekinthették a zárolási képernyőn megjelenített Most játszott információkat.
CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)
Bejegyzés hozzáadva 2021. július 21.
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.
CVE-2021-30723: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30725: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-30746: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2021-30693: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30695: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-30708: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30709: Mickey Jin (@patch1t), Trend Micro
NSOpenPanel
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2020-36226
CVE-2020-36227
CVE-2020-36223
CVE-2020-36224
CVE-2020-36225
CVE-2020-36221
CVE-2020-36228
CVE-2020-36222
CVE-2020-36230
CVE-2020-36229
PackageKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások felül tudtak írni tetszőleges fájlokat.
Leírás: Az útvonal tisztításának javításával megoldottunk egy problémát, amely a rögzített hivatkozások útvonal-ellenőrzési logikájával kapcsolatban jelentkezett.
CVE-2021-30738: Qingyang Chen, Topsec Alpha Team és Csaba Fitzl (@theevilbit), Offensive Security
Sandbox
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások meg tudtak kerülni bizonyos adatvédelmi beállításokat.
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2021-30751: Fitzl Csaba (@theevilbit; Offensive Security)
Bejegyzés hozzáadva 2021. július 21.
Security
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: A sérülékeny kód eltávolításával megoldottunk egy memóriasérüléssel kapcsolatos problémát, amely az ASN.1 dekódert érintette.
CVE-2021-30737: xerub
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságot megszerző támadók szolgáltatásmegtagadást tudtak előidézni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
smbx
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
Software Update
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A Machez fizikailag hozzáférő személy megkerülhette a bejelentkezési ablakot a szoftverfrissítés során.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30668: Syrus Kimiagar és Danilo Paffi Monteiro
SoftwareUpdate
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott beállításokat.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30718: SiQian Wei, ByteDance Security
TCC
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazás képes lehet nem engedélyezett Apple-eseményeket küldeni a Finderbe
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2021-30671: Ryan Bell (@iRyanBell)
TCC
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben meg tudták kerülni az adatvédelmi beállításokat. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2021-30713: anonim kutató
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: A biztonsági eredet fejlettebb követése megoldotta az iFrame-elemek származásával kapcsolatos problémát.
CVE-2021-30744: Dan Hite (jsontop)
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2021-21779: Marcin Towalski (Cisco Talos)
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30682: Prakash (@1lastBr3ath)
Bejegyzés frissítve 2021. július 21.
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30689: anonim kutató
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2021-30749: anonim kutató és mipu94 a SEFCOM-laborból (ASU). a Trend Micro Zero Day Initiative kezdeményezés keretében
CVE-2021-30734: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében
WebKit
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Előfordult, hogy a rosszindulatú webhelyek hozzá tudtak férni tetszőleges kiszolgálók korlátozott portjaihoz.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30720: David Schütz (@xdavidhu)
WebRTC
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2021-23841: Tavis Ormandy (Google)
CVE-2021-30698: Tavis Ormandy (Google)
További köszönetnyilvánítás
App Store
Köszönjük Thijs Alkemade (Computest Research Division) segítségét.
CoreCapture
Köszönjük Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab) segítségét.
ImageIO
Köszönjük a Trend Micro Zero Day Initiative kezdeményezés keretei között eljáró Jzhu és egy anonim kutató segítségét.
Mail Drafts
Köszönjük Lauritz Holtmann (@_lauritz_) segítségét.
WebKit
Szeretnénk megköszönni Chris Salls (@salls), a Makai Security munkatársa segítségét.