Informazioni sui contenuti di sicurezza di macOS Big Sur 11.2, sull'aggiornamento di sicurezza 2021-001 per macOS Catalina e sull'aggiornamento di sicurezza 2021-001 per macOS Mojave

In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.2, dell'aggiornamento di sicurezza 2021-001 per macOS Catalina e dell'aggiornamento di sicurezza 2021-001 per macOS Mojave.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Big Sur 11.2, aggiornamento di sicurezza 2021-001 per macOS Catalina, aggiornamento di sicurezza 2021-001 per macOS Mojave

Analytics

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1761: Cees Elzinga

APFS

Disponibile per: macOS Big Sur 11.0.1

Impatto: un utente collegato in locale può essere in grado di leggere file arbitrari.

Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.

CVE-2021-1797: Thomas Tempelmann

CFNetwork Cache

Disponibile per: macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27945: Zhuo Liang del Vulcan Team di Qihoo 360

CoreAnimation

Disponibile per: macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1760: @S0rryMybad di 360 Vulcan Team

CoreAudio

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1747: JunDong Xie di Ant Security Light-Year Lab

CoreGraphics

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1776: Ivan Fratric di Google Project Zero

CoreMedia

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1759: Hou JingYi (@hjy79425575) di Qihoo 360 CERT

CoreText

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1772: Mickey Jin (@patch1t) di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

CoreText

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1792: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Crash Reporter

Disponibile per: macOS Catalina 10.15.7

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1761: Cees Elzinga

Crash Reporter

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.

CVE-2021-1787: James Hutchins

Crash Reporter

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un utente collegato in locale può essere in grado di creare o modificare file di sistema.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1786: Csaba Fitzl (@theevilbit) di Offensive Security

Directory Utility

Disponibile per: macOS Catalina 10.15.7

Impatto: un'applicazione dannosa può accedere a informazioni private.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27937: Wojciech Reguła (@_r3ggi) di SecuRing

Endpoint Security

Disponibile per: macOS Catalina 10.15.7

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1802: Zhongcheng Li (@CK01) di WPS Security Response Center

FairPlay

Disponibile per: macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa può rivelare la memoria kernel.

Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun e Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

FontParser

Disponibile per: macOS Catalina 10.15.7

Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1790: Peter Nguyen Vu Hoang di STAR Labs

FontParser

Disponibile per: macOS Mojave 10.14.6

Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2021-1775: Mickey Jin e Qi Sun di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

FontParser

Disponibile per: macOS Mojave 10.14.6

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-29608: Xingwei Lin di Ant Security Light-Year Lab

FontParser

Disponibile per: macOS Big Sur 11.0.1 e macOS Catalina 10.15.7

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1758: Peter Nguyen di STAR Labs

ImageIO

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1783: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1741: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1773: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.

Descrizione: si verificava un problema di lettura non nei limiti in curl Il problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2021-1778: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1736: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1785: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1766: Danny Rosseau di Carve Systems

ImageIO

Disponibile per: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1818: Xingwei Lin di Ant-Financial Light-Year Security Lab

ImageIO

Disponibile per: macOS Catalina 10.15.7, macOS Big Sur 11.0.1

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1742: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin (@singi21a) di THEORI, Mickey Jin e Qi Sun di Trend Micro in collaborazione di Zero Day Initiative di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: macOS Big Sur 11.0.1 e macOS Catalina 10.15.7

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1737: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1738: Lei Sun

CVE-2021-1744: Xingwei Lin di Ant Security Light-Year Lab

IOKit

Disponibile per: macOS Big Sur 11.0.1

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un errore logico nel caricamento di kext è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1779: Csaba Fitzl (@theevilbit) di Offensive Security

IOSkywalkFamily

Disponibile per: macOS Big Sur 11.0.1

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) di Alibaba Security, Proteas

Kernel

Disponibile per: macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: si verificava un problema logico che provocava il danneggiamento della memoria. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27904: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab

Kernel

Disponibile per: macOS Big Sur 11.0.1

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1764: @m00nbsd

Kernel

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2021-1782: un ricercatore anonimo

Kernel

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.

CVE-2021-1750: @0xalsr

Login Window

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe riuscire a bypassare le politiche di autenticazione.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-29633: Jewel Lambert di Original Spin, LLC.

Messages

Disponibile per: macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: si verificava un problema di privacy nella gestione delle schede dei contatti. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1781: Csaba Fitzl (@theevilbit) di Offensive Security

Messages

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un utente rimosso da un gruppo iMessage poteva riunirsi al gruppo.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)

Model I/O

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1762: Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Model I/O

Disponibile per: macOS Catalina 10.15.7

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) di Topsec Alpha Lab

Model I/O

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2021-1763: Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Model I/O

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: l'elaborazione di un'immagine pericolosa può causare un danno alla memoria heap.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1767: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Model I/O

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1745: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Model I/O

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1753: Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Model I/O

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1768: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

NetFSFramework

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: l'attivazione di una rete Samba condivisa dannosa potrebbe portare all'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1751: Mikko Kenttälä (@Turmio_) di SensorFu

OpenLDAP

Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-25709

Power Management

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27938: Tim Michaud (@TimGMichaud) di Leviathan

Screen Sharing

Disponibile per: macOS Big Sur 11.0.1

Impatto: diversi problemi in PCRE.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 8.44.

CVE-2019-20838

CVE-2020-14155

SQLite

Disponibile per: macOS Catalina 10.15.7

Impatto: diversi problemi presenti in SQLite.

Descrizione: diversi problemi sono stati risolti attraverso migliori verifiche.

CVE-2020-15358

Swift

Disponibile per: macOS Big Sur 11.0.1

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2021-1769: CodeColorist di Ant-Financial Light-Year Labs

WebKit

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1788: Francisco Alonso (@revskills)

WebKit

Disponibile per: macOS Big Sur 11.0.1

Impatto: i contenuti web dannosi possono violare la politica di sandbox iframe.

Descrizione: questo problema è stato risolto con una migliore applicazione della sandbox iframe.

CVE-2021-1765: Eliya Stein di Confiant

CVE-2021-1801: Eliya Stein di Confiant

WebKit

Disponibile per: macOS Big Sur 11.0.1

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1789: @S0rryMybad di 360 Vulcan Team

WebKit

Disponibile per: macOS Big Sur 11.0.1

Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-1871: un ricercatore anonimo

CVE-2021-1870: un ricercatore anonimo

WebRTC

Disponibile per: macOS Big Sur 11.0.1

Impatto: un sito web dannoso può essere in grado di accedere a porte con restrizioni su server arbitrari.

Descrizione: un problema di reindirizzamento della porta viene risolto con una convalida aggiuntiva della porta.

CVE-2021-1799: Gregory Vishnepolsky e Ben Seri di Armis Security e Samy Kamkar

XNU

Disponibile per: macOS Big Sur 11.0.1

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30869: Apple

Altri riconoscimenti

Kernel

Ringraziamo Junzhi Lu (@pwn0rz), Mickey Jin e Jesse Change di Trend Micro per l'assistenza.

libpthread

Ringraziamo CodeColorist di Ant-Financial Light-Year Labs per l'assistenza.

Login Window

Ringraziamo Jose Moises Romero-Villanueva di CrySolve per l'assistenza.

Mail Drafts

Ringraziamo Jon Bottarini di HackerOne per l'assistenza.

Screen Sharing Server

Ringraziamo @gorelics per l'assistenza.

WebRTC

Ringraziamo Philipp Hancke per l'assistenza.