A macOS Monterey 12.0.1 biztonsági változásjegyzéke

Ez a dokumentum a macOS Monterey 12.0.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Monterey 12.0.1

Kiadási dátum: 2021. október 25.

AppKit

A következőkhöz érhető el: Mac Pro (2013 és újabb), MacBook Air (2015 eleje és újabb), MacBook Pro (2015 eleje és újabb), Mac mini (2014 vége és újabb), iMac (2015 vége és újabb), MacBook (2016 eleje és újabb), iMac Pro (2017 és újabb)

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30873: Thijs Alkemade (Computest)

AppleScript

Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

App Store

Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a helyi felhasználók Apple ID azonosítójához.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2021-30994: Sergii Kryvoblotskyi (MacPaw Inc.)

Bejegyzés hozzáadva: 2022. május 25.

Audio

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.

CVE-2021-30907: Zweig (Kunlun Lab)

Bluetooth

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2021-30899: Weiteng Chen, Zheng Zhang és Zhiyun Qian (UC Riverside), illetve Yu Wang (Didi Research America)

Bluetooth

Érintett terület: A rosszindulatú alkalmazások fel tudták fedni a kernelmemória tartalmát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2021-30931: Weiteng Chen, Zheng Zhang és Zhiyun Qian (UC Riverside), illetve Yu Wang (Didi Research America)

Bejegyzés hozzáadva: 2021. november 18.

bootp

Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.

Leírás: Egy felhasználói adatvédelmi probléma hárult el a szórási MAC-cím eltávolításával.

CVE-2021-30866: Fabien Duchêne (UCLouvain, Belgium)

Bejegyzés hozzáadva: 2021. november 18.

ColorSync

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Memóriasérülési hiba állt fenn az ICC-profilok kezelési módjában. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2021-30917: Alexandru-Vlad Niculae és Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Érintett terület: A helyi támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy nem szabályozott formázó karakterlánccal kapcsolatos problémát.

CVE-2021-30903: anonim kutató

Bejegyzés frissítve: 2022. május 25.

CoreAudio

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30905: Mickey Jin (@patch1t; Trend Micro)

CoreGraphics

Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-30919

Directory Utility

Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a helyi felhasználók Apple ID azonosítójához.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-9846: Wojciech Reguła (@_r3ggi)

Bejegyzés hozzáadva: 2022. március 31.

FileProvider

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2021-30881: Simon Huang (@HuangShaomang) és pjf (IceSword Lab; Qihoo 360)

File System

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927; Alibaba Security)

Bejegyzés hozzáadva: 2021. november 18.

FontParser

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30831: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2021. november 18.

FontParser

Érintett terület: Az ártó szándékkal létrehozott dfont-fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30840: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2021. november 18.

Foundation

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2021-30852: Yinyi Wu (@3ndy1; Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2021. november 18.

Game Center

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30895: Denis Tokarev

Game Center

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások olvasni tudták a felhasználó játékmenetekkel kapcsolatos adatait.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30896: Denis Tokarev

Graphics Drivers

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2021-30933: Jack Dates (RET2 Systems, Inc.)

Bejegyzés hozzáadva: 2022. március 31.

iCloud

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30906: Cees Elzinga

iCloud Photo Library

Érintett terület: A rosszindulatú alkalmazások a fotók eléréséhez szükséges engedély nélkül is hozzáférhettek a fotók metaadataihoz.

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2021-30867: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2021. november 18.

ImageIO

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30814: hjy79425575

Bejegyzés hozzáadva: 2021. november 18.

Intel Graphics Driver

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk több határértéken kívüli írási hibát.

CVE-2021-30922: Jack Dates (RET2 Systems, Inc.), Yinyi Wu (@3ndy1)

Bejegyzés hozzáadva: 2022. március 31.

Intel Graphics Driver

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30824: Antonio Zekic (@antoniozekic; Diverto)

Intel Graphics Driver

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk több határértéken kívüli írási hibát.

CVE-2021-30901: Zuozhi Fan (@pattern_F_; Ant Security TianQiong Lab), Yinyi Wu (@3ndy1; Ant Security Light-Year Lab), Jack Dates (RET2 Systems, Inc.)

IOGraphics

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30821: Tim Michaud (@TimGMichaud; Zoom Video Communications)

IOMobileFrameBuffer

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30883: anonim kutató

Kernel

Érintett terület: Egy távoli támadó a készülék váratlan újraindítását tudta kiváltani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2021-30924: Elaman Iskakov (@darling_x0r; Effective) és Alexey Katkov (@watman27)

Bejegyzés hozzáadva: 2021. november 18.

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30886: @0xalsr

Kernel

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30909: Zweig (Kunlun Lab)

Kernel

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30916: Zweig (Kunlun Lab)

LaunchServices

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30864: Ron Hass (@ronhass7; Perception Point)

Login Window

Érintett terület: Egy hoszt Machez hozzáféréssel rendelkező személy a Távoli asztalon keresztül megkerülhette a bejelentkezési ablakot a macOS zárolt példánya esetén.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2021-30813: Benjamin Berger (BBetterTech LLC), Peter Goedtkindt (Informatique-MTF S.A.), egy anonim kutató

Bejegyzés frissítve: 2022. május 25.

Managed Configuration

Érintett terület: A magas hálózati jogosultságú felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-31011: Michal Moravec, Logicworks, s.r.o.

Bejegyzés hozzáadva: 2022. szeptember 16.

Messages

Érintett terület: Előfordult, hogy a felhasználó üzenetei azt követően is szinkronizálódtak, hogy a felhasználó kijelentkezett az iMessage-ből.

Leírás: Hatékonyabb állapotérvényesítéssel elhárítottunk egy szinkronizálási problémát.

CVE-2021-30904: Reed Meseck (IBM)

Bejegyzés hozzáadva: 2021. november 18.

Model I/O

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30910: Mickey Jin (@patch1t; Trend Micro)

Model I/O

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30911: Rui Yang és Xingwei Lin (Ant Security Light-Year Lab)

NetworkExtension

Érintett terület: Az alkalmazások a felhasználó engedélye nélkül telepíthettek VPN-konfigurációt.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2021-30874: Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)

Bejegyzés hozzáadva: 2021. november 18.

Sandbox

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30808: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2021. november 18.

Sandbox

Érintett terület: A helyi támadók bizalmas információkat tudtak olvasni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2021-30920: Fitzl Csaba (@theevilbit; Offensive Security)

Security

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-31004: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2022. március 31.

SMB

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultsággal.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng, STAR Labs

Bejegyzés hozzáadva: 2022. szeptember 16.

SMB

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-30868: Peter Nguyen Vu Hoang (STAR Labs)

SoftwareUpdate

Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználói kulcskarika elemeihez.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-30912: Kirin (@Pwnrin) és chenyuwang (@mzzzz__; mindketten: Tencent Security Xuanwu Lab)

SoftwareUpdate

Érintett terület: A jogosulatlan alkalmazások szerkeszthették az NVRAM-változókat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30913: Kirin (@Pwnrin) és chenyuwang (@mzzzz__; mindketten: Tencent Security Xuanwu Lab)

Bejegyzés frissítve: 2022. május 25.

UIKit

Érintett terület: Az eszközhöz fizikai hozzáféréssel rendelkező személy meg tudta határozni a felhasználó jelszavának jellemzőit egy biztonságos szövegbeviteli mezőben.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Érintett terület: A „Távoli tartalmak blokkolása” beállítás kikapcsolása nem feltétlenül lépett érvénybe minden típusú távoli tartalomra.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-31005: Jonathan Austin (Wells Fargo), Sóki Attila

Bejegyzés hozzáadva: 2022. március 31.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2021-31008

Bejegyzés hozzáadva: 2022. március 31.

WebKit

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Az erőforrás-időzítési API specifikációjában hiba állt fenn. A specifikációt frissítettük, és a frissített specifikációt implementáltuk.

CVE-2021-30897: anonim kutató

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor a rendszer felfedhette a felhasználó böngészési előzményeit.

Leírás: A CSS-kompozitálásra vonatkozó további korlátozásokkal küszöböltük ki a problémát.

CVE-2021-30884: anonim kutató

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2021-30818: Amar Menezes (@amarekano; Zon8Research)

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30836: Peter Nguyen Vu Hoang (STAR Labs)

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30846: Sergei Glazunov (Google Project Zero)

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2021-30849: Sergei Glazunov (Google Project Zero)

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30848: Sergei Glazunov (Google Project Zero)

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2021-30851: Samuel Groß (Google Project Zero)

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30809: anonim kutató

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Érintett terület: A magas hálózati jogosultságú támadók meg tudták kerülni a HSTS-t.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30823: David Gullasch (Recurity Labs)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor váratlanul nem került sor a tartalombiztonsági irányelvek foganatosítására.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati; Suma Soft Pvt. Ltd.)

WebKit

Érintett terület: A Tartalombiztonsági szabályzat jelentéseit használó, rosszindulatú webhelyek információt szivárogtathattak ki az átirányítási viselkedés révén.

Leírás: Elhárítottunk egy információszivárgási problémát.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd. és Tsinghua wingtecher lab)

WebKit

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30861: Wojciech Reguła (@_r3ggi), Ryan Pickren (ryanpickren.com)

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30890: anonim kutató

WebRTC

Érintett terület: A támadók nyomon tudták követni a felhasználókat az IP-címük alapján.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30930: Oguz Kırat, Matthias Keller (m-keller.com)

Bejegyzés hozzáadva: 2021. november 18., frissítve: 2022. szeptember 16.

Windows Server

Érintett terület: Helyi támadók megtekinthették az előzőleg bejelentkezett felhasználó asztalát a gyors felhasználóváltási képernyőről.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2021-30908: ASentientBot

xar

Érintett terület: Az ártó szándékkal létrehozott archívumok kicsomagolása tetszőleges fájlok írását tehette lehetővé támadók számára.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30833: Richard Warren (NCC Group)

zsh

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: További korlátozásokkal elhárítottunk egy örökölt jogosultságokkal összefüggő problémát.

CVE-2021-30892: Jonathan Bar Or (Microsoft)

További köszönetnyilvánítás

APFS

Köszönjük Koh M. Nakagawa (FFRI Security, Inc.) segítségét.

AppleScript

Köszönjük Jeremy Brown segítségét.

Bejegyzés hozzáadva: 2022. március 31.

App Support

Köszönjük egy anonim kutató és 漂亮鼠 (赛博回忆录) segítségét.

Bluetooth

Köszönjük say2 (ENKI) segítségét.

bootp

Köszönjük Alexander Burke (alexburke.ca) segítségét.

Bejegyzés hozzáadva: 2022. március 31.

CUPS

Köszönjük Nathan Nye (WhiteBeam Security) segítségét.

Bejegyzés frissítve: 2022. március 31.

iCloud

Köszönjük Ryan Pickren (ryanpickren.com) segítségét.

Kernel

Köszönjük Anthony Steinhauser (a Google Safeside projektje) és Joshua Baums (Informatik Baums) segítségét.

Bejegyzés frissítve: 2021. november 18.

Mail

Köszönjük Fabian Ising és Damian Poddebniak (Münster University of Applied Sciences) segítségét.

Managed Configuration

Köszönjük Michal Moravec (Logicworks, s.r.o.) segítségét.

Setup Assistant

Köszönjük Schütz Dávid (@xdavidhu) segítségét.

Bejegyzés hozzáadva: 2021. november 18.

smbx

Köszönjük Zhongcheng Li (CK01) segítségét.

UIKit

Köszönjük Jason Rendel (Diligent) segítségét.

Bejegyzés hozzáadva: 2021. november 18.

WebKit

Köszönjük Ivan Fratric (Google Project Zero), Pavel Gromadchuk, Nikhil Mittal (@c0d3G33k) és Matthias Keller (m-keller.com) segítségét.

Bejegyzés frissítve: 2022. május 25.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2023. november 03.