Informazioni sui contenuti di sicurezza di macOS Big Sur 11.3
In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.3.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Big Sur 11.3
APFS
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1853: Gary Nield di ECSC Group plc e Tim Michaud (@TimGMichaud) di Zoom Video Communications
AppleMobileFileIntegrity
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.
Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.
CVE-2021-1849: Siguza
Apple Neural Engine
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1867: Zuozhi Fan (@pattern_F_) e Wish Wu (吴潍浠) di Ant Group Tianqiong Security Lab
Archive Utility
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1810: Rasmus Sten (@pajp) di F-Secure
Audio
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1808: JunDong Xie di Ant Security Light-Year Lab
CFNetwork
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1857: un ricercatore anonimo
Compression
Disponibile per: macOS Big Sur
Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
Descrizione: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
CVE-2021-30752: Ye Zhang (@co0py_Cat) di Baidu Security
CoreAudio
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30664: JunDong Xie di Ant Security Light-Year Lab
CoreAudio
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1846: JunDong Xie di Ant Security Light-Year Lab
CoreAudio
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1809: JunDong Xie di Ant Security Light-Year Lab
CoreFoundation
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-30659: Thijs Alkemade di Computest
CoreGraphics
Disponibile per: macOS Big Sur
Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1847: Xuwei Liu della Purdue University
CoreText
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1811: Xingwei Lin di Ant Security Light-Year Lab
curl
Disponibile per: macOS Big Sur
Impatto: un server dannoso può essere in grado di rivelare servizi attivi
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-8284: Marian Rehak
curl
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato può fornire una risposta OCSP fraudolenta che potrebbe sembrare valida
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-8286: un ricercatore anonimo
curl
Disponibile per: macOS Big Sur
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-8285: xnynx
DiskArbitration
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.
Descrizione: si verificava un problema di autorizzazioni in DiskArbitration. Questo problema è stato risolto con ulteriori verifiche della proprietà.
CVE-2021-1784: Mikko Kenttälä (@Turmio_) di SensorFu, Csaba Fitzl (@theevilbit) di Offensive Security e un ricercatore anonimo
FaceTime
Disponibile per: macOS Big Sur
Impatto: la disattivazione dell'audio di una chiamata CallKit mentre il telefono sta squillando potrebbe non determinare l'effettiva disattivazione dell'audio
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1872: Siraj Zaneer di Facebook
FontParser
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1881: un ricercatore anonimo, Xingwei Lin di Ant Security Light-Year Lab, Mickey Jin di Trend Micro e Hou JingYi (@hjy79425575) di Qihoo 360
Foundation
Disponibile per: macOS Big Sur
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-1813: Cees Elzinga
Heimdal
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di messaggi del server dannosi può danneggiare la memoria heap
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Big Sur
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1880: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-30653: Ye Zhang di Baidu Security
CVE-2021-1814: Ye Zhang di Baidu Security, Mickey Jin e Qi Sun di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-1843: Ye Zhang di Baidu Security
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1885: CFF di Topsec Alpha Team
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1858: Mickey Jin di Trend Micro
ImageIO
Disponibile per: macOS Big Sur
Impatto: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input
Descrizione: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
CVE-2021-30743: Ye Zhang (@co0py_Cat) di Baidu Security, CFF di Topsec Alpha Team, Jzhu in collaborazione con Zero Day Initiative di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab, Jeonghoon Shin (@singi21a) di THEORI in collaborazione con Zero Day Initiative di Trend Micro
Installer
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: questo problema è stato risolto con una migliore gestione dei metadati dei file.
CVE-2021-30658: Wojciech Reguła (@_r3ggi) di SecuRing
Intel Graphics Driver
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1841: Jack Dates di RET2 Systems, Inc.
CVE-2021-1834: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può rivelare la memoria kernel
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1860: @0xalsr
Kernel
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab
Kernel
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1851: @0xalsr
Kernel
Disponibile per: macOS Big Sur
Impatto: i file copiati potrebbero non avere i permessi dei file previsti
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2021-1832: un ricercatore anonimo
Kernel
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può rivelare la memoria kernel
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30660: Alex Plaskett
libxpc
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2021-30652: James Hutchins
libxslt
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap
Descrizione: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1875: rilevato da OSS-Fuzz
Login Window
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa con privilegi root può accedere a informazioni private
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2021-1824: Wojciech Reguła (@_r3ggi) di SecuRing
Notes
Disponibile per: macOS Big Sur
Impatto: i contenuti delle note protette potrebbero essere stati sbloccati inaspettatamente
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1859: Syed Ali Shuja (@SyedAliShuja) di Colour King Pvt. Ltd
NSRemoteView
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1876: Matthew Denton di Google Chrome
Preferences
Disponibile per: macOS Big Sur
Impatto: un utente locale può essere in grado di modificare parti protette del file system.
Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.
CVE-2021-1815: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Disponibile per: macOS Big Sur
Impatto: un sito web dannoso può essere in grado di monitorare gli utenti impostando lo stato in una cache
Descrizione: si verificava un problema nella determinazione dell'occupazione della cache. Il problema è stato risolto attraverso una migliore logica.
CVE-2021-1861: Konstantinos Solomos della University of Illinois di Chicago
Safari
Disponibile per: macOS Big Sur
Impatto: un sito web dannoso può essere in grado di forzare connessioni di rete inutili per recuperare le favicon
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1855: Håvard Mikkelsen Ottestad di HASMAC AS
SampleAnalysis
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1868: Tim Michaud di Zoom Communications
Sandbox
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di accedere ai contatti recenti dell'utente
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2021-30750: Csaba Fitzl (@theevilbit) di Offensive Security
smbx
Disponibile per: macOS Big Sur
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1878: Aleksandar Nikolic di Cisco Talos (talosintelligence.com)
System Preferences
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può bypassare i controlli di Gatekeeper. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30657: Cedric Owens (@cedowens)
TCC
Disponibile per: macOS Big Sur
Impatto: un'app dannosa che viene eseguita senza sandbox su un sistema con il Login remoto abilitato può essere in grado di bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto aggiungendo una nuova opzione Login remoto per scegliere Accesso completo al disco per le sessioni Secure Shell.
CVE-2021-30856: Csaba Fitzl (@theevilbit) di Offensive Security, Andy Grant di Zoom Video Communications, Thijs Alkemade di Computest Research Division, Wojciech Reguła di SecuRing (wojciechregula.blog), Cody Thomas di SpecterOps, Mickey Jin di Trend Micro
tcpdump
Disponibile per: macOS Big Sur
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-8037: un ricercatore anonimo
Time Machine
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2021-1839: Tim Michaud (@TimGMichaud) di Zoom Video Communications e Gary Nield di ECSC Group plc
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1825: Alex Camboe di Aon's Cyber Solutions
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1817: zhunki
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-1826: un ricercatore anonimo
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1820: André Bargull
WebKit Storage
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30661: yangkang (@dnpushme) di 360 ATA
WebRTC
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-7463: Megan2013678
Wi-Fi
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab
Wi-Fi
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1829: Tielei Wang di Pangu Lab
Wi-Fi
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2021-30655: Gary Nield di ECSC Group plc, Tim Michaud (@TimGMichaud) di Zoom Video Communications e Wojciech Reguła (@_r3ggi) di SecuRing
Wi-Fi
Disponibile per: macOS Big Sur
Impatto: un problema logico è stato risolto attraverso una migliore gestione dello stato
Descrizione: un overflow del buffer può causare l'esecuzione di codice arbitrario.
CVE-2021-1770: Jiska Classen (@naehrdine) di Secure Mobile Networking Lab, TU Darmstadt
WindowServer
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di divulgare inaspettatamente le credenziali di un utente dai campi di testo protetti
Descrizione: un problema dell'API nei permessi TCC sull'accessibilità è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1873: un ricercatore anonimo
Altri riconoscimenti
AirDrop
Ringraziamo @maxzks per l'assistenza.
CoreAudio
Ringraziamo un ricercatore anonimo per l'assistenza.
CoreCrypto
Ringraziamo Andy Russon di Orange Group per l'assistenza.
File Bookmark
Ringraziamo un ricercatore anonimo per l'assistenza.
Foundation
Ringraziamo CodeColorist di Ant-Financial LightYear Labs per l'assistenza.
Kernel
Ringraziamo Antonio Frighetto del Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) di SensorFu e Proteas per l'assistenza.
Ringraziamo Petter Flink, SecOps di Bonnier News e un ricercatore anonimo per l'assistenza.
Safari
Ringraziamo Sahil Mehra (Nullr3x) e Shivam Kamboj Dattana (Sechunt3r) per l'assistenza.
Security
Ringraziamo Xingwei Lin di Ant Security Light-Year Lab e john (@nyan_satan) per l'assistenza.
sysdiagnose
Ringraziamo Tim Michaud (@TimGMichaud) di Leviathan per l'assistenza.
WebKit
Ringraziamo Emilio Cobos Álvarez di Mozilla per l'assistenza.
WebSheet
Ringraziamo Patrick Clover per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.