Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Big Sur 11.4
Data di rilascio: 24 maggio 2021
AMD
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30678: Yu Wang di Didi Research America
AMD
Disponibile per: macOS Big Sur
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30676: shrek_wzw
App Store
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2021-30688: Thijs Alkemade della Research Division di Computest
AppleScript
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30669: Yair Hoffman
Audio
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30707: hjy79425575 in collaborazione con Zero Day Initiative di Trend Micro
Audio
Disponibile per: macOS Big Sur
Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30685: Mickey Jin (@patch1t) di Trend Micro
Bluetooth
Disponibile per: macOS Big Sur
Impatto: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
Descrizione: un'applicazione dannosa può essere in grado di ottenere privilegi root.
CVE-2021-30672: say2 di ENKI
Voce aggiunta il 21 luglio 2021
Core Services
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30686: Mickey Jin di Trend Micro
CoreText
Disponibile per: macOS Big Sur
Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
Descrizione: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
CVE-2021-30733: Sunglin dal Knownsec 404
CVE-2021-30753: Xingwei Lin di Ant Security Light-Year Lab
Voce aggiunta il 21 luglio 2021
Crash Reporter
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30727: Cees Elzinga
CVMS
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30724: Mickey Jin (@patch1t) di Trend Micro
Dock
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di accedere alla cronologia delle chiamate di un utente.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30771: Mickey Jin (@patch1t) di Trend Micro, CFF di Topsec Alpha Team
Voce aggiunta il 19 gennaio 2022
FontParser
Disponibile per: macOS Big Sur
Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
Descrizione: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
CVE-2021-30755: Xingwei Lin di Ant Security Light-Year Lab
Voce aggiunta il 21 luglio 2021
Graphics Drivers
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30684: Liu Long di Ant Security Light-Year Lab
Graphics Drivers
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30735: Jack Dates di RET2 Systems, Inc. (@ret2systems) in collaborazione con Zero Day Initiative di Trend Micro
Heimdal
Disponibile per: macOS Big Sur
Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può causare una negazione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30687: Hou JingYi (@hjy79425575) di Qihoo 360
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30700: Ye Zhang (@co0py_Cat) di Baidu Security
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30701: Mickey Jin (@patch1t) di Trend Micro e Ye Zhang di Baidu Security
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file ASTC dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30705: Ye Zhang di Baidu Security
ImageIO
Disponibile per: macOS Big Sur
Impatto: il problema è stato risolto attraverso migliori controlli.
Descrizione: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
CVE-2021-30706: anonimo in collaborazione con Zero Day Initiative di Trend Micro, Jzhu in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 21 luglio 2021
Intel Graphics Driver
Disponibile per: macOS Big Sur
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-30719: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
Intel Graphics Driver
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30728: Liu Long di Ant Security Light-Year Lab
CVE-2021-30726: Yinyi Wu (@3ndy1) del Vulcan Team di Qihoo 360
IOUSBHostFamily
Disponibile per: macOS Big Sur
Impatto: il problema è stato risolto attraverso migliori controlli.
Descrizione: un'applicazione senza privilegi può essere in grado di acquisire i dispositivi USB.
CVE-2021-30731: UTM (@UTMapp)
Voce aggiunta il 21 luglio 2021
Kernel
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30704: un ricercatore anonimo
Kernel
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un messaggio dannoso può causare una negazione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30715: National Cyber Security Centre (NCSC) del Regno Unito
Kernel
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2021-30736: Ian Beer di Google Project Zero
Kernel
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab
Kernel
Disponibile per: macOS Big Sur
Impatto: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.
Descrizione: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
CVE-2021-30703: un ricercatore anonimo
Voce aggiunta il 21 luglio 2021
Kext Management
Disponibile per: macOS Big Sur
Impatto: un utente locale può essere in grado di caricare estensioni del kernel non firmate.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30680: Csaba Fitzl (@theevilbit) di Offensive Security
LaunchServices
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.
Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.
CVE-2021-30677: Ron Waisberg (@epsilan)
Login Window
Disponibile per: macOS Big Sur
Impatto: una persona con accesso fisico a un Mac può essere in grado di bypassare la finestra di login.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30702: Jewel Lambert di Original Spin, LLC.
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di rappresentare lo stato dell'applicazione in modo fuorviante.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30696: Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences
MediaRemote
Disponibile per: macOS Big Sur
Impatto: un problema di privacy nella schermata In riproduzione è stato risolto attraverso una migliore gestione delle autorizzazioni.
Descrizione: un utente malintenzionato locale può essere in grado di visualizzare le informazioni della schermata In riproduzione dal blocco schermo.
CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)
Voce aggiunta il 21 luglio 2021
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30723: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) di Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30725: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30746: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-30693: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30695: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30708: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30709: Mickey Jin (@patch1t) di Trend Micro
NSOpenPanel
Disponibile per: macOS Big Sur
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Disponibile per: macOS Big Sur
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-36226
CVE-2020-36227
CVE-2020-36223
CVE-2020-36224
CVE-2020-36225
CVE-2020-36221
CVE-2020-36228
CVE-2020-36222
CVE-2020-36230
CVE-2020-36229
PackageKit
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: un problema con la logica di convalida dei percorsi per i collegamenti fisici è stato risolto attraverso una migliore sanitizzazione dei percorsi.
CVE-2021-30738: Qingyang Chen dell'Alpha Team di Topsec e Csaba Fitzl (@theevilbit) di Offensive Security
Sandbox
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2021-30751: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 21 luglio 2021
Security
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria nel decodificatore ASN.1 è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-30737: xerub
smbx
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare una negazione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30716: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30717: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Big Sur
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2021-30721: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Big Sur
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30722: Aleksandar Nikolic di Cisco Talos
smbx
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30712: Aleksandar Nikolic di Cisco Talos
Software Update
Disponibile per: macOS Big Sur
Impatto: una persona con accesso fisico a un Mac può essere in grado di bypassare la finestra di login durante un aggiornamento software.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30668: Syrus Kimiagar e Danilo Paffi Monteiro
SoftwareUpdate
Disponibile per: macOS Big Sur
Impatto: un utente non privilegiato può essere in grado di modificare le impostazioni con restrizioni.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30718: SiQian Wei di ByteDance Security
TCC
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di inviare eventi Apple non autorizzati al Finder.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-30671: Ryan Bell (@iRyanBell)
TCC
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2021-30713: un ricercatore anonimo
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema multiorigine con gli elementi iFrame è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.
CVE-2021-30744: Dan Hite di jsontop
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-21779: Marcin Towalski di Cisco Talos
WebKit
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-30682: Prakash (@1lastBr3ath)
Voce aggiornata il 21 luglio 2021
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30689: un ricercatore anonimo
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2021-30749: un ricercatore anonimo e mipu94 di SEFCOM lab (ASU) in collaborazione con Zero Day Initiative di Trend Micro
CVE-2021-30734: Jack Dates di RET2 Systems, Inc. (@ret2systems) in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: macOS Big Sur
Impatto: un sito web dannoso può essere in grado di accedere a porte con restrizioni su server arbitrari.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-30720: David Schütz (@xdavidhu)
WebRTC
Disponibile per: macOS Big Sur
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-23841: Tavis Ormandy di Google
CVE-2021-30698: Tavis Ormandy di Google
Altri riconoscimenti
App Store
Ringraziamo Thijs Alkemade di Computest Research Division per l'assistenza.
CoreCapture
Ringraziamo Zuozhi Fan (@pattern_F_) di Ant-financial TianQiong Security Lab per l'assistenza.
ImageIO
Ringraziamo Jzhu che collabora con Zero Day Initiative di Trend Micro e un ricercatore anonimo per l'assistenza.
Mail Drafts
Ringraziamo Lauritz Holtmann (@_lauritz_) per l'assistenza.
WebKit
Ringraziamo Chris Salls (@salls) di Makai Security per l'assistenza.