Mengenai konten keamanan macOS Big Sur 11.5

Dokumen ini menjelaskan konten keamanan macOS Big Sur 11.5.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Big Sur 11.5

AMD Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30805: ABC Research s.r.o

Analytics

Tersedia untuk: macOS Big Sur

Dampak: Penyerang lokal mungkin dapat mengakses data analisis

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

AppKit

Tersedia untuk: macOS Big Sur

Dampak: Membuka file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan menghapus kode yang rentan.

CVE-2021-30790: hjy79425575 yang bekerja sama dengan Zero Day Initiative dari Trend Micro

App Store

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu

Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-31006: Csaba Fitzl (@theevilbit) dari Offensive Security

Audio

Tersedia untuk: macOS Big Sur

Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30781: tr3e

AVEVideoEncoder

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2021-30748: George Nosenko

CoreAudio

Tersedia untuk: macOS Big Sur

Dampak: Memproses file audio perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30775: JunDong Xie dari Ant Security Light-Year Lab

CoreAudio

Tersedia untuk: macOS Big Sur

Dampak: Memutar file audio yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30776: JunDong Xie dari Ant Security Light-Year Lab

CoreGraphics

Tersedia untuk: macOS Big Sur

Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30786: ryuzaki

CoreServices

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30772: Zhongcheng Li (CK01)

CoreServices

Tersedia untuk: macOS Big Sur

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah akses telah diatasi dengan pembatasan akses yang ditingkatkan.

CVE-2021-30783: Ron Waisberg (@epsilan)

CoreStorage

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Masalah injeksi telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30777: Tim Michaud (@TimGMichaud) dari Zoom Video Communications dan Gary Nield dari ECSC Group plc

CoreText

Tersedia untuk: macOS Big Sur

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2021-30789: Mickey Jin (@patch1t) dari Trend Micro, Sunglin dari tim Knownsec 404

Crash Reporter

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30774: Yizhuo Wang dari Group of Software Security In Progress (G.O.S.S.I.P) di Shanghai Jiao Tong University

CVMS

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30780: Tim Michaud (@TimGMichaud) dari Zoom Video Communications

dyld

Tersedia untuk: macOS Big Sur

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30768: Linus Henze (pinauten.de)

Family Sharing

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengakses data mengenai akun yang digunakan oleh pengguna dengan Keluarga Berbagi

Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30817: Csaba Fitzl (@theevilbit) dari Offensive Security

Find My

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengakses data Find My

Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30804: Csaba Fitzl (@theevilbit) dari Offensive Security, Wojciech Reguła (@_r3ggi) dari SecuRing

FontParser

Tersedia untuk: macOS Big Sur

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2021-30760: Sunglin dari tim Knownsec 404

FontParser

Tersedia untuk: macOS Big Sur

Dampak: Memproses file tiff perusak yang berbahaya dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30788: tr3e yang bekerja sama dengan Zero Day Initiative dari Trend Micro

FontParser

Tersedia untuk: macOS Big Sur

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Tumpukan kelebihan telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30759: hjy79425575 yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Identity Services

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi yang berbahaya mungkin dapat mengakses Kontak terbaru pengguna

Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit) dari Offensive Security

ImageIO

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) dari Baidu Security

ImageIO

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30785: CFF dari Topsec Alpha Team, Mickey Jin (@patch1t) dari Trend Micro

Intel Graphics Driver

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30787: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Intel Graphics Driver

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30766: Liu Long dari Ant Security Light-Year Lab

CVE-2021-30765: Yinyi Wu (@3ndy1) dari Qihoo 360 Vulcan Team, Liu Long dari Ant Security Light-Year Lab

IOKit

Tersedia untuk: macOS Big Sur

Dampak: Penyerang lokal mungkin dapat menjalankan kode pada Chip Keamanan Apple T2

Deskripsi: Beberapa masalah telah diatasi dengan logika yang ditingkatkan.

CVE-2021-30784: George Nosenko

Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30793: Zuozhi Fan (@pattern_F_) dari Ant Security TianQiong Lab

Kext Management

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi

Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.

CVE-2021-30778: Csaba Fitzl (@theevilbit) dari Offensive Security

LaunchServices

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox

Deskripsi: Masalah ini telah diatasi dengan sanitasi lingkungan yang ditingkatkan.

CVE-2021-30677: Ron Waisberg (@epsilan)

libxml2

Tersedia untuk: macOS Big Sur

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-3518

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30796: Mickey Jin (@patch1t) dari Trend Micro

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30792: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses file perusak berbahaya dapat mengungkapkan informasi pengguna

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30791: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Networking

Tersedia untuk: macOS Big Sur

Dampak: Berkunjung ke halaman web yang dibuat secara berbahaya dapat mengarah ke penolakan layanan sistem.

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-1821: Georgi Valkov (httpstorm.com)

Sandbox

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengakses file yang dibatasi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30782: Csaba Fitzl (@theevilbit) dari Offensive Security

Security

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2021-31004: Csaba Fitzl (@theevilbit) dari Offensive Security

TCC

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30798: Mickey Jin (@patch1t) dari Trend Micro yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit

Tersedia untuk: macOS Big Sur

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30758: Christoph Guttandin dari Media Codings

WebKit

Tersedia untuk: macOS Big Sur

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2021-30795: Sergei Glazunov dari Google Project Zero

WebKit

Tersedia untuk: macOS Big Sur

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30797: Ivan Fratric dari Google Project Zero

WebKit

Tersedia untuk: macOS Big Sur

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30799: Sergei Glazunov dari Google Project Zero

Penghargaan tambahan

configd

Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.

CoreText

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) dari Trend Micro atas bantuannya.

crontabs

Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.

Power Management

Kami ingin mengucapkan terima kasih kepada Pan ZhenPeng (@Peterpan0927) dari Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), Lisandro Ubiedo (@_lubiedo) dari Stratosphere Lab

Sandbox

Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.

Spotlight

Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.

sysdiagnose

Kami ingin mengucapkan terima kasih kepada Carter Jones (linkedin.com/in/carterjones/) dan Tim Michaud (@TimGMichaud) dari Zoom Video Communications atas bantuannya.