Informazioni sui contenuti di sicurezza di macOS Big Sur 11.3

In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Big Sur 11.3

Data di rilascio: 26 aprile 2021

APFS

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1853: Gary Nield di ECSC Group plc e Tim Michaud (@TimGMichaud) di Zoom Video Communications

AppleMobileFileIntegrity

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.

Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.

CVE-2021-1849: Siguza

Apple Neural Engine

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) e Wish Wu (吴潍浠) di Ant Group Tianqiong Security Lab

Archive Utility

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1810: Rasmus Sten (@pajp) di F-Secure

Voce aggiornata il 27 aprile 2021

Audio

Disponibile per: macOS Big Sur

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1808: JunDong Xie di Ant Security Light-Year Lab

CFNetwork

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1857: un ricercatore anonimo

Compression

Disponibile per: macOS Big Sur

Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

Descrizione: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

CVE-2021-30752: Ye Zhang (@co0py_Cat) di Baidu Security

Voce aggiunta il 21 luglio 2021 

CoreAudio

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30664: JunDong Xie di Ant Security Light-Year Lab

Voce aggiunta il 6 maggio 2021

CoreAudio

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1846: JunDong Xie di Ant Security Light-Year Lab

CoreAudio

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1809: JunDong Xie di Ant Security Light-Year Lab

CoreFoundation

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2021-30659: Thijs Alkemade di Computest

CoreGraphics

Disponibile per: macOS Big Sur

Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1847: Xuwei Liu della Purdue University

CoreText

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1811: Xingwei Lin di Ant Security Light-Year Lab

curl

Disponibile per: macOS Big Sur

Impatto: un server dannoso può essere in grado di rivelare servizi attivi

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-8284: Marian Rehak

Voce aggiunta il 6 maggio 2021

curl

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato può fornire una risposta OCSP fraudolenta che potrebbe sembrare valida

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-8286: un ricercatore anonimo

curl

Disponibile per: macOS Big Sur

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-8285: xnynx

DiskArbitration

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.

Descrizione: si verificava un problema di autorizzazioni in DiskArbitration. Questo problema è stato risolto con ulteriori verifiche della proprietà.

CVE-2021-1784: Mikko Kenttälä (@Turmio_) di SensorFu, Csaba Fitzl (@theevilbit) di Offensive Security e un ricercatore anonimo

FaceTime

Disponibile per: macOS Big Sur

Impatto: la disattivazione dell'audio di una chiamata CallKit mentre il telefono sta squillando potrebbe non determinare l'effettiva disattivazione dell'audio

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1872: Siraj Zaneer di Facebook

FontParser

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1881: un ricercatore anonimo, Xingwei Lin di Ant Security Light-Year Lab, Mickey Jin di Trend Micro e Hou JingYi (@hjy79425575) di Qihoo 360

Foundation

Disponibile per: macOS Big Sur

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2021-1813: Cees Elzinga

Heimdal

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di messaggi del server dannosi può danneggiare la memoria heap

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Disponibile per: macOS Big Sur

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1880: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-30653: Ye Zhang di Baidu Security

CVE-2021-1814: Ye Zhang di Baidu Security, Mickey Jin e Qi Sun di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1843: Ye Zhang di Baidu Security

ImageIO

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1885: CFF di Topsec Alpha Team

ImageIO

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1858: Mickey Jin di Trend Micro

ImageIO

Disponibile per: macOS Big Sur

Impatto: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input

Descrizione: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

CVE-2021-30743: Ye Zhang (@co0py_Cat) di Baidu Security, CFF di Topsec Alpha Team, Jzhu in collaborazione con Zero Day Initiative di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab, Jeonghoon Shin (@singi21a) di THEORI in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 21 luglio 2021 

Installer

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.

Descrizione: questo problema è stato risolto con una migliore gestione dei metadati dei file.

CVE-2021-30658: Wojciech Reguła (@_r3ggi) di SecuRing

Intel Graphics Driver

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1841: Jack Dates di RET2 Systems, Inc.

CVE-2021-1834: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

Kernel

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può rivelare la memoria kernel

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1860: @0xalsr

Kernel

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1840: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab

Kernel

Disponibile per: macOS Big Sur

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1851: @0xalsr

Kernel

Disponibile per: macOS Big Sur

Impatto: i file copiati potrebbero non avere i permessi dei file previsti

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2021-1832: un ricercatore anonimo

Kernel

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può rivelare la memoria kernel

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30660: Alex Plaskett

libxpc

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2021-30652: James Hutchins

libxslt

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap

Descrizione: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1875: rilevato da OSS-Fuzz

Login Window

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa con privilegi root può accedere a informazioni private

Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.

CVE-2021-1824: Wojciech Reguła (@_r3ggi) di SecuRing

Notes

Disponibile per: macOS Big Sur

Impatto: i contenuti delle note protette potrebbero essere stati sbloccati inaspettatamente

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1859: Syed Ali Shuja (@SyedAliShuja) di Colour King Pvt. Ltd

NSRemoteView

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1876: Matthew Denton di Google Chrome

Preferences

Disponibile per: macOS Big Sur

Impatto: un utente locale può essere in grado di modificare parti protette del file system.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2021-1815: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

Disponibile per: macOS Big Sur

Impatto: un sito web dannoso può essere in grado di monitorare gli utenti impostando lo stato in una cache

Descrizione: si verificava un problema nella determinazione dell'occupazione della cache. Il problema è stato risolto attraverso una migliore logica.

CVE-2021-1861: Konstantinos Solomos della University of Illinois di Chicago

Safari

Disponibile per: macOS Big Sur

Impatto: un sito web dannoso può essere in grado di forzare connessioni di rete inutili per recuperare le favicon

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1855: Håvard Mikkelsen Ottestad di HASMAC AS

SampleAnalysis

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1868: Tim Michaud di Zoom Communications

Sandbox

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di accedere ai contatti recenti dell'utente

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2021-30750: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 28 maggio 2021

smbx

Disponibile per: macOS Big Sur

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1878: Aleksandar Nikolic di Cisco Talos (talosintelligence.com)

System Preferences

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può bypassare i controlli di Gatekeeper. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30657: Cedric Owens (@cedowens)

Voce aggiunta il 27 aprile 2021, aggiornata il 30 aprile 2021

TCC

Disponibile per: macOS Big Sur

Impatto: un'app dannosa che viene eseguita senza sandbox su un sistema con il Login remoto abilitato può essere in grado di bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto aggiungendo una nuova opzione Login remoto per scegliere Accesso completo al disco per le sessioni Secure Shell.

CVE-2021-30856: Csaba Fitzl (@theevilbit) di Offensive Security, Andy Grant di Zoom Video Communications, Thijs Alkemade di Computest Research Division, Wojciech Reguła di SecuRing (wojciechregula.blog), Cody Thomas di SpecterOps, Mickey Jin di Trend Micro

Voce aggiunta il 19 gennaio 2022 e aggiornata il 25 maggio 2022

tcpdump

Disponibile per: macOS Big Sur

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-8037: un ricercatore anonimo

Time Machine

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2021-1839: Tim Michaud (@TimGMichaud) di Zoom Video Communications e Gary Nield di ECSC Group plc

WebKit

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1825: Alex Camboe di Aon's Cyber Solutions

WebKit

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1817: zhunki

Voce aggiornata il 6 maggio 2021

WebKit

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-1826: un ricercatore anonimo

WebKit

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1820: André Bargull

Voce aggiornata il 6 maggio 2021

WebKit Storage

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30661: yangkang (@dnpushme) di 360 ATA

WebRTC

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-7463: Megan2013678

Wi-Fi

Disponibile per: macOS Big Sur

Impatto: un'applicazione può essere in grado di causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1828: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab

Wi-Fi

Disponibile per: macOS Big Sur

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1829: Tielei Wang di Pangu Lab

Wi-Fi

Disponibile per: macOS Big Sur

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2021-30655: Gary Nield di ECSC Group plc, Tim Michaud (@TimGMichaud) di Zoom Video Communications e Wojciech Reguła (@_r3ggi) di SecuRing

Wi-Fi

Disponibile per: macOS Big Sur

Impatto: un problema logico è stato risolto attraverso una migliore gestione dello stato

Descrizione: un overflow del buffer può causare l'esecuzione di codice arbitrario.

CVE-2021-1770: Jiska Classen (@naehrdine) di Secure Mobile Networking Lab, TU Darmstadt

Voce aggiunta il 21 luglio 2021 

WindowServer

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di divulgare inaspettatamente le credenziali di un utente dai campi di testo protetti

Descrizione: un problema dell'API nei permessi TCC sull'accessibilità è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1873: un ricercatore anonimo

Altri riconoscimenti

AirDrop

Ringraziamo @maxzks per l'assistenza.

Voce aggiunta il 6 maggio 2021

CoreAudio

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 6 maggio 2021

CoreCrypto

Ringraziamo Andy Russon di Orange Group per l'assistenza.

Voce aggiunta il 6 maggio 2021

File Bookmark

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 6 maggio 2021

Foundation

Ringraziamo CodeColorist di Ant-Financial LightYear Labs per l'assistenza.

Voce aggiunta il 6 maggio 2021

Kernel

Ringraziamo Antonio Frighetto del Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) di SensorFu e Proteas per l'assistenza.

Voce aggiunta il 6 maggio 2021

Mail

Ringraziamo Petter Flink, SecOps di Bonnier News e un ricercatore anonimo per l'assistenza.

Voce aggiunta il 6 maggio 2021

Safari

Ringraziamo Sahil Mehra (Nullr3x) e Shivam Kamboj Dattana (Sechunt3r) per l'assistenza.

Voce aggiunta il 6 maggio 2021

Security

Ringraziamo Xingwei Lin di Ant Security Light-Year Lab e john (@nyan_satan) per l'assistenza.

Voce aggiunta il 6 maggio 2021

sysdiagnose

Ringraziamo Tim Michaud (@TimGMichaud) di Leviathan per l'assistenza.

Voce aggiunta il 6 maggio 2021

WebKit

Ringraziamo Emilio Cobos Álvarez di Mozilla per l'assistenza.

Voce aggiunta il 6 maggio 2021

WebSheet

Ringraziamo Patrick Clover per l'assistenza.

Voce aggiunta il 6 maggio 2021

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: