Informazioni sui contenuti di sicurezza di macOS Big Sur 11.4

In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Big Sur 11.4

AMD

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30678: Yu Wang di Didi Research America

AMD

Disponibile per: macOS Big Sur

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30676: shrek_wzw

App Store

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2021-30688: Thijs Alkemade della Research Division di Computest

AppleScript

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30669: Yair Hoffman

Audio

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30707: hjy79425575 in collaborazione con Zero Day Initiative di Trend Micro

Audio

Disponibile per: macOS Big Sur

Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30685: Mickey Jin (@patch1t) di Trend Micro

Bluetooth

Disponibile per: macOS Big Sur

Impatto: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

Descrizione: un'applicazione dannosa può essere in grado di ottenere privilegi root.

CVE-2021-30672: say2 di ENKI

Core Services

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2021-30681: Zhongcheng Li (CK01)

CoreAudio

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30686: Mickey Jin di Trend Micro

CoreText

Disponibile per: macOS Big Sur

Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

Descrizione: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

CVE-2021-30733: Sunglin dal Knownsec 404

CVE-2021-30753: Xingwei Lin di Ant Security Light-Year Lab

Crash Reporter

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30727: Cees Elzinga

CVMS

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30724: Mickey Jin (@patch1t) di Trend Micro

Dock

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di accedere alla cronologia delle chiamate di un utente.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2021-30673: Josh Parnham (@joshparnham)

FontParser

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30771: Mickey Jin (@patch1t) di Trend Micro, CFF di Topsec Alpha Team

FontParser

Disponibile per: macOS Big Sur

Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

Descrizione: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

CVE-2021-30755: Xingwei Lin di Ant Security Light-Year Lab

Graphics Drivers

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30684: Liu Long di Ant Security Light-Year Lab

Graphics Drivers

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30735: Jack Dates di RET2 Systems, Inc. (@ret2systems) in collaborazione con Zero Day Initiative di Trend Micro

Heimdal

Disponibile per: macOS Big Sur

Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può causare una negazione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario compromettendo le informazioni dell'utente.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30687: Hou JingYi (@hjy79425575) di Qihoo 360

ImageIO

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30700: Ye Zhang (@co0py_Cat) di Baidu Security

ImageIO

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30701: Mickey Jin (@patch1t) di Trend Micro e Ye Zhang di Baidu Security

ImageIO

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file ASTC dannoso può causare la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30705: Ye Zhang di Baidu Security

ImageIO

Disponibile per: macOS Big Sur

Impatto: il problema è stato risolto attraverso migliori controlli.

Descrizione: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.

CVE-2021-30706: anonimo in collaborazione con Zero Day Initiative di Trend Micro, Jzhu in collaborazione con Zero Day Initiative di Trend Micro

Intel Graphics Driver

Disponibile per: macOS Big Sur

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto rimuovendo il codice vulnerabile.

CVE-2021-30719: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

Intel Graphics Driver

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30728: Liu Long di Ant Security Light-Year Lab

CVE-2021-30726: Yinyi Wu (@3ndy1) del Vulcan Team di Qihoo 360

IOUSBHostFamily

Disponibile per: macOS Big Sur

Impatto: il problema è stato risolto attraverso migliori controlli.

Descrizione: un'applicazione senza privilegi può essere in grado di acquisire i dispositivi USB.

CVE-2021-30731: UTM (@UTMapp)

Kernel

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

Disponibile per: macOS Big Sur

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30704: un ricercatore anonimo

Kernel

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un messaggio dannoso può causare una negazione del servizio.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30715: National Cyber Security Centre (NCSC) del Regno Unito

Kernel

Disponibile per: macOS Big Sur

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2021-30736: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-30739: Zuozhi Fan (@pattern_F_) di Ant Group Tianqiong Security Lab

Kernel

Disponibile per: macOS Big Sur

Impatto: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.

Descrizione: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

CVE-2021-30703: un ricercatore anonimo

Kext Management

Disponibile per: macOS Big Sur

Impatto: un utente locale può essere in grado di caricare estensioni del kernel non firmate.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30680: Csaba Fitzl (@theevilbit) di Offensive Security

LaunchServices

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.

CVE-2021-30677: Ron Waisberg (@epsilan)

Login Window

Disponibile per: macOS Big Sur

Impatto: una persona con accesso fisico a un Mac può essere in grado di bypassare la finestra di login.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30702: Jewel Lambert di Original Spin, LLC.

Mail

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di rappresentare lo stato dell'applicazione in modo fuorviante.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30696: Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences

MediaRemote

Disponibile per: macOS Big Sur

Impatto: un problema di privacy nella schermata In riproduzione è stato risolto attraverso una migliore gestione delle autorizzazioni.

Descrizione: un utente malintenzionato locale può essere in grado di visualizzare le informazioni della schermata In riproduzione dal blocco schermo.

CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30723: Mickey Jin (@patch1t) di Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t) di Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t) di Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t) di Trend Micro

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30725: Mickey Jin (@patch1t) di Trend Micro

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30746: Mickey Jin (@patch1t) di Trend Micro

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2021-30693: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30695: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30708: Mickey Jin (@patch1t) e Junzhi Lu (@pwn0rz) di Trend Micro

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30709: Mickey Jin (@patch1t) di Trend Micro

NSOpenPanel

Disponibile per: macOS Big Sur

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

Disponibile per: macOS Big Sur

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-36226

CVE-2020-36227

CVE-2020-36223

CVE-2020-36224

CVE-2020-36225

CVE-2020-36221

CVE-2020-36228

CVE-2020-36222

CVE-2020-36230

CVE-2020-36229

PackageKit

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.

Descrizione: un problema con la logica di convalida dei percorsi per i collegamenti fisici è stato risolto attraverso una migliore sanitizzazione dei percorsi.

CVE-2021-30738: Qingyang Chen dell'Alpha Team di Topsec e Csaba Fitzl (@theevilbit) di Offensive Security

Sandbox

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2021-30751: Csaba Fitzl (@theevilbit) di Offensive Security

Security

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria nel decodificatore ASN.1 è stato risolto rimuovendo il codice vulnerabile.

CVE-2021-30737: xerub

smbx

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare una negazione del servizio.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30716: Aleksandar Nikolic di Cisco Talos

smbx

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30717: Aleksandar Nikolic di Cisco Talos

smbx

Disponibile per: macOS Big Sur

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2021-30721: Aleksandar Nikolic di Cisco Talos

smbx

Disponibile per: macOS Big Sur

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30722: Aleksandar Nikolic di Cisco Talos

smbx

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30712: Aleksandar Nikolic di Cisco Talos

Software Update

Disponibile per: macOS Big Sur

Impatto: una persona con accesso fisico a un Mac può essere in grado di bypassare la finestra di login durante un aggiornamento software.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30668: Syrus Kimiagar e Danilo Paffi Monteiro

SoftwareUpdate

Disponibile per: macOS Big Sur

Impatto: un utente non privilegiato può essere in grado di modificare le impostazioni con restrizioni.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30718: SiQian Wei di ByteDance Security

TCC

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di inviare eventi Apple non autorizzati al Finder.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2021-30671: Ryan Bell (@iRyanBell)

TCC

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2021-30713: un ricercatore anonimo

WebKit

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema multiorigine con gli elementi iFrame è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.

CVE-2021-30744: Dan Hite di jsontop

WebKit

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-21779: Marcin Towalski di Cisco Talos

WebKit

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30682: Prakash (@1lastBr3ath)

WebKit

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30689: un ricercatore anonimo

WebKit

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2021-30749: un ricercatore anonimo e mipu94 di SEFCOM lab (ASU) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2021-30734: Jack Dates di RET2 Systems, Inc. (@ret2systems) in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: macOS Big Sur

Impatto: un sito web dannoso può essere in grado di accedere a porte con restrizioni su server arbitrari.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30720: David Schütz (@xdavidhu)

WebRTC

Disponibile per: macOS Big Sur

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-23841: Tavis Ormandy di Google

CVE-2021-30698: Tavis Ormandy di Google

Altri riconoscimenti

App Store

Ringraziamo Thijs Alkemade di Computest Research Division per l'assistenza.

CoreCapture

Ringraziamo Zuozhi Fan (@pattern_F_) di Ant-financial TianQiong Security Lab per l'assistenza.

ImageIO

Ringraziamo Jzhu che collabora con Zero Day Initiative di Trend Micro e un ricercatore anonimo per l'assistenza.

Mail Drafts

Ringraziamo Lauritz Holtmann (@_lauritz_) per l'assistenza.

WebKit

Ringraziamo Chris Salls (@salls) di Makai Security per l'assistenza.