Informazioni sui contenuti di sicurezza di macOS Big Sur 11.2, sull'aggiornamento di sicurezza 2021-001 per macOS Catalina e sull'aggiornamento di sicurezza 2021-001 per macOS Mojave
In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.2, dell'aggiornamento di sicurezza 2021-001 per macOS Catalina e dell'aggiornamento di sicurezza 2021-001 per macOS Mojave.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Big Sur 11.2, aggiornamento di sicurezza 2021-001 per macOS Catalina, aggiornamento di sicurezza 2021-001 per macOS Mojave
Analytics
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1761: Cees Elzinga
APFS
Disponibile per: macOS Big Sur 11.0.1
Impatto: un utente collegato in locale può essere in grado di leggere file arbitrari.
Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.
CVE-2021-1797: Thomas Tempelmann
CFNetwork Cache
Disponibile per: macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-27945: Zhuo Liang del Vulcan Team di Qihoo 360
CoreAnimation
Disponibile per: macOS Big Sur 11.0.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1760: @S0rryMybad di 360 Vulcan Team
CoreAudio
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1747: JunDong Xie di Ant Security Light-Year Lab
CoreGraphics
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1776: Ivan Fratric di Google Project Zero
CoreMedia
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1759: Hou JingYi (@hjy79425575) di Qihoo 360 CERT
CoreText
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1772: Mickey Jin (@patch1t) di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
CoreText
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1792: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Crash Reporter
Disponibile per: macOS Catalina 10.15.7
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1761: Cees Elzinga
Crash Reporter
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.
CVE-2021-1787: James Hutchins
Crash Reporter
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un utente collegato in locale può essere in grado di creare o modificare file di sistema.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1786: Csaba Fitzl (@theevilbit) di Offensive Security
Directory Utility
Disponibile per: macOS Catalina 10.15.7
Impatto: un'applicazione dannosa può accedere a informazioni private.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) di SecuRing
Endpoint Security
Disponibile per: macOS Catalina 10.15.7
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1802: Zhongcheng Li (@CK01) di WPS Security Response Center
FairPlay
Disponibile per: macOS Big Sur 11.0.1
Impatto: un'applicazione dannosa può rivelare la memoria kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun e Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
FontParser
Disponibile per: macOS Catalina 10.15.7
Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1790: Peter Nguyen Vu Hoang di STAR Labs
FontParser
Disponibile per: macOS Mojave 10.14.6
Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-1775: Mickey Jin e Qi Sun di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
FontParser
Disponibile per: macOS Mojave 10.14.6
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-29608: Xingwei Lin di Ant Security Light-Year Lab
FontParser
Disponibile per: macOS Big Sur 11.0.1 e macOS Catalina 10.15.7
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1758: Peter Nguyen di STAR Labs
ImageIO
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1783: Xingwei Lin di Ant Security Light-Year Lab
ImageIO
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1741: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab
ImageIO
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1773: Xingwei Lin di Ant Security Light-Year Lab
ImageIO
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.
Descrizione: si verificava un problema di lettura non nei limiti in curl Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-2021-1778: Xingwei Lin di Ant Security Light-Year Lab
ImageIO
Disponibile per: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1736: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1785: Xingwei Lin di Ant Security Light-Year Lab
ImageIO
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1766: Danny Rosseau di Carve Systems
ImageIO
Disponibile per: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1818: Xingwei Lin di Ant-Financial Light-Year Security Lab
ImageIO
Disponibile per: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1742: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin (@singi21a) di THEORI, Mickey Jin e Qi Sun di Trend Micro in collaborazione di Zero Day Initiative di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin di Ant Security Light-Year Lab
ImageIO
Disponibile per: macOS Big Sur 11.0.1 e macOS Catalina 10.15.7
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1737: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1738: Lei Sun
CVE-2021-1744: Xingwei Lin di Ant Security Light-Year Lab
IOKit
Disponibile per: macOS Big Sur 11.0.1
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un errore logico nel caricamento di kext è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1779: Csaba Fitzl (@theevilbit) di Offensive Security
IOSkywalkFamily
Disponibile per: macOS Big Sur 11.0.1
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) di Alibaba Security, Proteas
Kernel
Disponibile per: macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: si verificava un problema logico che provocava il danneggiamento della memoria. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab
Kernel
Disponibile per: macOS Big Sur 11.0.1
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1764: @m00nbsd
Kernel
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2021-1782: un ricercatore anonimo
Kernel
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.
CVE-2021-1750: @0xalsr
Login Window
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe riuscire a bypassare le politiche di autenticazione.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-29633: Jewel Lambert di Original Spin, LLC.
Messages
Disponibile per: macOS Big Sur 11.0.1
Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: si verificava un problema di privacy nella gestione delle schede dei contatti. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1781: Csaba Fitzl (@theevilbit) di Offensive Security
Messages
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un utente rimosso da un gruppo iMessage poteva riunirsi al gruppo.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)
Model I/O
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1762: Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Model I/O
Disponibile per: macOS Catalina 10.15.7
Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) di Topsec Alpha Lab
Model I/O
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2021-1763: Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Model I/O
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: l'elaborazione di un'immagine pericolosa può causare un danno alla memoria heap.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1767: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Model I/O
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1745: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Model I/O
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1753: Mickey Jin di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Model I/O
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1768: Mickey Jin e Junzhi Lu di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
NetFSFramework
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: l'attivazione di una rete Samba condivisa dannosa potrebbe portare all'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1751: Mikko Kenttälä (@Turmio_) di SensorFu
OpenLDAP
Disponibile per: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 e macOS Mojave 10.14.6
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-25709
Power Management
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.7
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-27938: Tim Michaud (@TimGMichaud) di Leviathan
Screen Sharing
Disponibile per: macOS Big Sur 11.0.1
Impatto: diversi problemi in PCRE.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 8.44.
CVE-2019-20838
CVE-2020-14155
SQLite
Disponibile per: macOS Catalina 10.15.7
Impatto: diversi problemi presenti in SQLite.
Descrizione: diversi problemi sono stati risolti attraverso migliori verifiche.
CVE-2020-15358
Swift
Disponibile per: macOS Big Sur 11.0.1
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-1769: CodeColorist di Ant-Financial Light-Year Labs
WebKit
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Disponibile per: macOS Big Sur 11.0.1
Impatto: i contenuti web dannosi possono violare la politica di sandbox iframe.
Descrizione: questo problema è stato risolto con una migliore applicazione della sandbox iframe.
CVE-2021-1765: Eliya Stein di Confiant
CVE-2021-1801: Eliya Stein di Confiant
WebKit
Disponibile per: macOS Big Sur 11.0.1
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1789: @S0rryMybad di 360 Vulcan Team
WebKit
Disponibile per: macOS Big Sur 11.0.1
Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-1871: un ricercatore anonimo
CVE-2021-1870: un ricercatore anonimo
WebRTC
Disponibile per: macOS Big Sur 11.0.1
Impatto: un sito web dannoso può essere in grado di accedere a porte con restrizioni su server arbitrari.
Descrizione: un problema di reindirizzamento della porta viene risolto con una convalida aggiuntiva della porta.
CVE-2021-1799: Gregory Vishnepolsky e Ben Seri di Armis Security e Samy Kamkar
XNU
Disponibile per: macOS Big Sur 11.0.1
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30869: Apple
Altri riconoscimenti
Kernel
Ringraziamo Junzhi Lu (@pwn0rz), Mickey Jin e Jesse Change di Trend Micro per l'assistenza.
libpthread
Ringraziamo CodeColorist di Ant-Financial Light-Year Labs per l'assistenza.
Login Window
Ringraziamo Jose Moises Romero-Villanueva di CrySolve per l'assistenza.
Mail Drafts
Ringraziamo Jon Bottarini di HackerOne per l'assistenza.
Screen Sharing Server
Ringraziamo @gorelics per l'assistenza.
WebRTC
Ringraziamo Philipp Hancke per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.