Mengenai konten keamanan macOS Big Sur 11.6

Dokumen ini menjelaskan konten keamanan macOS Big Sur 11.6.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Big Sur 11.6

AppleMobileFileIntegrity

Tersedia untuk: macOS Big Sur

Dampak: Penyerang lokal mungkin dapat membaca informasi sensitif

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30811: Peneliti anonim yang bekerja sama dengan Compartir

Apple Neural Engine

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30838: proteas wang

CoreAudio

Tersedia untuk: macOS Big Sur

Dampak: Memproses file audio berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30834: JunDong Xie dari Ant Security Light-Year Lab

CoreGraphics

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30928: Mickey Jin (@patch1t) dari Trend Micro

CoreGraphics

Tersedia untuk: macOS Big Sur

Dampak: Memproses PDF perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.

Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30860: The Citizen Lab

Core Telephony

Tersedia untuk: macOS Big Sur

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox. Apple telah mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif pada saat rilis.

Deskripsi: Masalah deserialisasi telah diatasi melalui validasi yang ditingkatkan.

CVE-2021-31010: Citizen Lab dan Google Project Zero

CUPS

Tersedia untuk: macOS Big Sur

Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka

Deskripsi: Masalah izin muncul. Masalah ini telah diatasi dengan validasi izin yang ditingkatkan.

CVE-2021-30827: peneliti anonim

CUPS

Tersedia untuk: macOS Big Sur

Dampak: Pengguna lokal mungkin dapat membaca file arbitrer sebagai root

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30828: peneliti anonim

CUPS

Tersedia untuk: macOS Big Sur

Dampak: Pengguna lokal mungkin dapat mengeksekusi file arbitrer

Deskripsi: Masalah penguraian URI telah diatasi dengan penguraian yang ditingkatkan.

CVE-2021-30829: peneliti anonim

curl

Tersedia untuk: macOS Big Sur

Dampak: curl berpotensi mengungkapkan informasi internal yang sensitif kepada server menggunakan protokol jaringan clear-text

Deskripsi: Kelebihan buffer telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-22925: Red Hat Product Security

CVMS

Tersedia untuk: macOS Big Sur

Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30832: Mickey Jin (@patch1t) dari Trend Micro

FontParser

Tersedia untuk: macOS Big Sur

Dampak: Memproses file dfont perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30841: Xingwei Lin dari Ant Security Light-Year Lab

CVE-2021-30842: Xingwei Lin dari Ant Security Light-Year Lab

CVE-2021-30843: Xingwei Lin dari Ant Security Light-Year Lab

Gatekeeper

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30853: Gordon Long (@ethicalhax) dari Box, Inc.

Graphics Drivers

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30933: Jack Dates dari RET2 Systems, Inc.

ImageIO

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30835: Ye Zhang dari Baidu Security

ImageIO

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30847: Mike Zhang dari Pangu Lab

Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30830: Zweig dari Kunlun Lab

Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2021-30865: Zweig dari Kunlun Lab

Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2021-30857: Zweig dari Kunlun Lab

Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30859: Apple

LaunchServices

Tersedia untuk: macOS Big Sur

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30864: Ron Hass (@ronhass7) dari Perception Point, Ron Waisberg (@epsilan)

libexpat

Tersedia untuk: macOS Big Sur

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan memperbarui expat ke versi 2.4.1.

CVE-2013-0340: peneliti anonim

Login Window

Tersedia untuk: macOS Big Sur

Dampak: Seseorang dengan akses ke Mac host dapat melewati Jendela Masuk di Remote Desktop untuk instans macOS terkunci

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30813: Benjamin Berger dari BBetterTech LLC, Aaron Hines dari AHDesigns916, Peter Goedtkindt dari Informatique-MTF S.A.

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2021-30819

Preferences

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi dapat mengakses file terbatas

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2021-30855: Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

Sandbox

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi

Deskripsi: Masalah ini telah diatasi dengan logika izin yang ditingkatkan.

CVE-2021-30925: Csaba Fitzl (@theevilbit) dari Offensive Security

Sandbox

Tersedia untuk: macOS Big Sur

Dampak: Pengguna mungkin dapat mengakses bagian yang dilindungi dari sistem file

Deskripsi: Masalah akses telah diatasi dengan pembatasan akses yang ditingkatkan.

CVE-2021-30850: peneliti anonim

SMB

Tersedia untuk: macOS Big Sur

Dampak: Pengguna lokal dapat membaca memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30845: Peter Nguyen Vu Hoang dari STAR Labs

SMB

Tersedia untuk: macOS Big Sur

Dampak: Penyerang jarak jauh dapat membocorkan memori

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30844: Peter Nguyen Vu Hoang dari STAR Labs

WebKit

Tersedia untuk: macOS Big Sur

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2021-30858: peneliti anonim

Penghargaan tambahan

APFS

Kami ingin mengucapkan terima kasih kepada Koh M. Nakagawa dari FFRI Security, Inc. atas bantuannya.

App Support

Kami ingin mengucapkan terima kasih kepada @CodeColorist, peneliti anonim, dan 漂亮鼠 dari 赛博回忆录 atas bantuannya.

CoreML

Kami ingin mengucapkan terima kasih kepada hjy79425575 yang bekerja sama dengan Zero Day Initiative dari Trend Micro atas bantuannya.

CUPS

Kami ingin mengucapkan terima kasih kepada peneliti anonim, Inc., dan Nathan Nye dari WhiteBeam Security atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Anthony Steinhauser dari proyek Safeside Google atas bantuannya.

Sandbox

Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.

smbx

Kami ingin mengucapkan terima kasih kepada Zhongcheng Li (CK01) atas bantuannya.