Mengenai konten keamanan macOS Monterey 12.1
Dokumen ini menjelaskan konten keamanan macOS Monterey 12.1.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Monterey 12.1
Airport
Tersedia untuk: macOS Monterey
Dampak: Perangkat dapat dilacak secara pasif melalui BSSID
Deskripsi: Masalah akses telah diatasi dengan pembatasan akses yang ditingkatkan.
CVE-2021-30987: Jason Meller, Fritz Ifert-Miller, dan Joseph Sokol-Margolis dari Kolide
Archive Utility
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30950: @gorelics
Audio
Tersedia untuk: macOS Monterey
Dampak: Menguraikan file audio perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30960: JunDong Xie dari Ant Security Light-Year Lab
Bluetooth
Tersedia untuk: macOS Monterey
Dampak: Perangkat dapat secara pasif dilacak melalui alamat MAC Bluetooth-nya
Deskripsi: Masalah konfigurasi perangkat telah diatasi dengan konfigurasi terbaru.
CVE-2021-30986: Min (Spark) Zheng, Xiaolong Bai dari Alibaba Inc.
CFNetwork Proxies
Tersedia untuk: macOS Monterey
Dampak: Lalu lintas pengguna mungkin dibocorkan secara tiba-tiba ke server proxy terlepas dari konfigurasi PAC-nya
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30966: Michal Rajcan dari Jamf, Matt Vlasach dari Jamf (Wandera)
ColorSync
Tersedia untuk: macOS Monterey
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori saat memproses profil ICC telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30926: Jeremy Brown
CVE-2021-30942: Mateusz Jurczyk dari Google Project Zero
CoreAudio
Tersedia untuk: macOS Monterey
Dampak: Memproses file audio perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30957: JunDong Xie dari Ant Security Light-Year Lab
CoreAudio
Tersedia untuk: macOS Monterey
Dampak: Memutar file audio yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30958: JunDong Xie dari Ant Security Light-Year Lab
CoreBluetooth
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30935: peneliti anonim
Crash Reporter
Tersedia untuk: macOS Monterey
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30945: Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab (xlab.tencent.com)
File Provider
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi
Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-31007: Csaba Fitzl (@theevilbit) dari Offensive Security
FontParser
Tersedia untuk: macOS Monterey
Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-31013: Daniel Lim Wee Soong dari STAR Labs
Game Center
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat membaca informasi kontak yang sensitif
Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-31000: Denis Tokarev (@illusionofcha0s)
Graphics Drivers
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30977: Jack Dates dari RET2 Systems, Inc.
ImageIO
Tersedia untuk: macOS Monterey
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30939: Mickey Jin (@patch1t) dari Trend Micro, Jaewon Min dari Cisco Talos, Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab
Intel Graphics Driver
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30981: Liu Long dari Ant Security Light-Year Lab, Jack Dates dari RET2 Systems, Inc.
IOMobileFrameBuffer
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2021-30996: Saar Amar (@AmarSaar)
IOUSBHostFamily
Tersedia untuk: macOS Monterey
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau semakin banyaknya kerusakan
Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.
CVE-2021-30982: Weiteng Chen, Zheng Zhang, dan Zhiyun Qian dari UC Riverside, dan Yu Wang dari Didi Research America
Kernel
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.
CVE-2021-30937: Sergei Glazunov dari Google Project Zero
Kernel
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2021-30927: Xinru Chi dari Pangu Lab
CVE-2021-30980: Xinru Chi dari Pangu Lab
Kernel
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30949: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Monterey
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30993: OSS-Fuzz, Ned Williamson dari Google Project Zero
Kernel
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2021-30955: Zweig dari Kunlun Lab
LaunchServices
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30976: chenyuwang (@mzzzz__) dan Kirin (@Pwnrin) dari Tencent Security Xuanwu Lab
LaunchServices
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30990: Ron Masas dari BreakPoint.sh
Messages
Tersedia untuk: macOS Monterey
Dampak: Pengguna berbahaya mungkin dapat keluar dari grup pesan, tetapi tetap menerima pesan dari grup tersebut
Deskripsi: Masalah penanganan keanggotaan grup telah diatasi dengan logika yang ditingkatkan.
CVE-2021-30943: Joshua Sardella
Model I/O
Tersedia untuk: macOS Monterey
Dampak: Beberapa masalah di HDF5
Deskripsi: Beberapa masalah telah diatasi dengan menghapus HDF5.
CVE-2021-31009: Mickey Jin (@patch1t) dari Trend Micro
Model I/O
Tersedia untuk: macOS Monterey
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30971: Ye Zhang (@co0py_Cat) dari Baidu Security
Model I/O
Tersedia untuk: macOS Monterey
Dampak: Memproses file perusak berbahaya dapat mengungkapkan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30973: Ye Zhang (@co0py_Cat) dari Baidu Security
Model I/O
Tersedia untuk: macOS Monterey
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30929: Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab
Model I/O
Tersedia untuk: macOS Monterey
Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30979: Mickey Jin (@patch1t) dari Trend Micro
Model I/O
Tersedia untuk: macOS Monterey
Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30940: Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab
CVE-2021-30941: Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab
Preferences
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2021-30995: Mickey Jin (@patch1t) dari Trend Micro, Mickey Jin (@patch1t)
Sandbox
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu
Deskripsi: Masalah validasi terkait dengan perilaku tautan keras telah diatasi dengan pembatasan sandbox yang ditingkatkan.
CVE-2021-30968: Csaba Fitzl (@theevilbit) dari Offensive Security
Sandbox
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2021-30946: @gorelics, dan Ron Masas dari BreakPoint.sh
Sandbox
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengakses file pengguna
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2021-30947: Csaba Fitzl (@theevilbit) dari Offensive Security
Script Editor
Tersedia untuk: macOS Monterey
Dampak: Penambahan skripting OSAX yang berbahaya mungkin dapat melewati pemeriksaan Gatekeeper dan menggagalkan pembatasan sandbox
Deskripsi: Masalah ini telah diatasi dengan menonaktifkan eksekusi JavaScript saat melihat kamus skripting.
CVE-2021-30975: Ryan Pickren (ryanpickren.com)
SQLite
Tersedia untuk: macOS Monterey
Dampak: App berbahaya mungkin dapat mengakses data dari app lain dengan mengaktifkan pencatatan tambahan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30944: Wojciech Reguła (@_r3ggi) dari SecuRing
TCC
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30972: Xuxiang Yang (@another1024), Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab (xlab.tencent.com), Csaba Fitzl (@theevilbit) dari Offensive Security, jhftss (@patch1t), Wojciech Reguła (@_r3ggi)
TCC
Tersedia untuk: macOS Monterey
Dampak: Pengguna lokal dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30767: @gorelics
TCC
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi
Deskripsi: Masalah izin bawaan telah diatasi dengan pembatasan tambahan.
CVE-2021-30964: Andy Grant dari Zoom Video Communications
TCC
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30970: Jonathan Bar Or dari Microsoft
TCC
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat menyebabkan penolakan layanan terhadap klien Endpoint Security
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30965: Csaba Fitzl (@theevilbit) dari Offensive Security
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30934: Dani Biro
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2021-30936: Chijin Zhou dari ShuiMuYuLin Ltd dan Tsinghua wingtecher lab
CVE-2021-30951: Pangu melalui Tianfu Cup
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30952: @18f dan @jq0904 dari DBAPP Security‘s weibin lab melalui Tianfu Cup
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2021-30984: Kunlun Lab melalui Tianfu Cup
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30953: Jianjun Dai dari 360 Vulnerability Research Institute melalui Tianfu Cup
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30954: Kunlun Lab Kunlun Lab melalui Tianfu Cup
Wi-Fi
Tersedia untuk: macOS Monterey
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30938: Xinru Chi dari Pangu Lab
Penghargaan tambahan
Admin Framework
Kami ingin mengucapkan terima kasih kepada Simon Andersen dari Aarhus University dan Pico Mitchell atas bantuannya.
Bluetooth
Kami ingin mengucapkan terima kasih kepada Haram Park, Korea University atas bantuannya.
CloudKit
Kami ingin mengucapkan terima kasih kepada Ryan Pickren (ryanpickren.com) atas bantuannya.
ColorSync
Kami ingin mengucapkan terima kasih kepada Mateusz Jurczyk dari Google Project Zero atas bantuannya.
Contacts
Kami ingin mengucapkan terima kasih kepada Minchan Park (03stin) atas bantuannya.
Kernel
Kami ingin mengucapkan terima kasih kepada Amit Klein dari Bar-Ilan University's Center for Research in Applied Cryptography and Cyber Security atas bantuannya.
Model I/O
Kami ingin mengucapkan terima kasih kepada Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab atas bantuannya.
Password Manager
Kami ingin mengucapkan terima kasih kepada Pascal Wagler atas bantuannya.
Security
Kami ingin mengucapkan terima kasih kepada Halle Winkler (@Politepix) dari Politepix atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Peter Snyder dari Brave dan Soroush Karami atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.