Informazioni sui contenuti di sicurezza di macOS Big Sur 11.5
In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.5.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Big Sur 11.5
AMD Kernel
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30805: ABC Research s.r.o
Analytics
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato locale può riuscire ad accedere ai dati analitici.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
AppKit
Disponibile per: macOS Big Sur
Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-30790: hjy79425575 in collaborazione con Zero Day Initiative di Trend Micro
App Store
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2021-31006: Csaba Fitzl (@theevilbit) di Offensive Security
Audio
Disponibile per: macOS Big Sur
Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30781: tr3e
AVEVideoEncoder
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30748: George Nosenko
CoreAudio
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30775: JunDong Xie di Ant Security Light-Year Lab
CoreAudio
Disponibile per: macOS Big Sur
Impatto: la riproduzione di un file audio dannoso può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30776: JunDong Xie di Ant Security Light-Year Lab
CoreGraphics
Disponibile per: macOS Big Sur
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2021-30786: ryuzaki
CoreServices
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30772: Zhongcheng Li (CK01)
CoreServices
Disponibile per: macOS Big Sur
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2021-30783: Ron Waisberg (@epsilan)
CoreStorage
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema di injection è stato risolto attraverso una migliore convalida.
CVE-2021-30777: Tim Michaud (@TimGMichaud) di Zoom Video Communications e Gary Nield di ECSC Group plc
CoreText
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30789: Mickey Jin (@patch1t) di Trend Micro, Sunglin del team di Knownsec 404
Crash Reporter
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30774: Yizhuo Wang di Group of Software Security In Progress (G.O.S.S.I.P) della Shanghai Jiao Tong University
CVMS
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30780: Tim Michaud (@TimGMichaud) di Zoom Video Communications
dyld
Disponibile per: macOS Big Sur
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30768: Linus Henze (pinauten.de)
Family Sharing
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può accedere ai dati sugli account con cui l'utente usa “In famiglia”.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2021-30817: Csaba Fitzl (@theevilbit) di Offensive Security
Find My
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di accedere ai dati di Dov'è.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2021-30804: Csaba Fitzl (@theevilbit) di Offensive Security, Wojciech Reguła (@_r3ggi) di SecuRing
FontParser
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2021-30760: Sunglin del team di Knownsec 404
FontParser
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file tiff dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30788: tr3e in collaborazione con Zero Day Initiative di Trend Micro
FontParser
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30759: hjy79425575 in collaborazione con Zero Day Initiative di Trend Micro
Identity Services
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di accedere ai contatti recenti di un utente.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit) di Offensive Security
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) di Baidu Security
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2021-30785: CFF di Topsec Alpha Team, Mickey Jin (@patch1t) di Trend Micro
Intel Graphics Driver
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30787: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Intel Graphics Driver
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30766: Liu Long di Ant Security Light-Year Lab
CVE-2021-30765: Yinyi Wu (@3ndy1) di Qihoo 360 Vulcan Team, Liu Long di Ant Security Light-Year Lab
IOKit
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato locale può essere in grado di eseguire codice sul chip di sicurezza Apple T2.
Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.
CVE-2021-30784: George Nosenko
Kernel
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30793: Zuozhi Fan (@pattern_F_) di Ant Security TianQiong Lab
Kext Management
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2021-30778: Csaba Fitzl (@theevilbit) di Offensive Security
LaunchServices
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.
Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.
CVE-2021-30677: Ron Waisberg (@epsilan)
libxml2
Disponibile per: macOS Big Sur
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-3518
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30796: Mickey Jin (@patch1t) di Trend Micro
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30792: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Model I/O
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30791: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Networking
Disponibile per: macOS Big Sur
Impatto: l'accesso a una pagina web pericolosa può causare un'interruzione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Sandbox
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può accedere a file con restrizioni.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30782: Csaba Fitzl (@theevilbit) di Offensive Security
Security
Disponibile per: macOS Big Sur
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2021-31004: Csaba Fitzl (@theevilbit) di Offensive Security
TCC
Disponibile per: macOS Big Sur
Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30798: Mickey Jin (@patch1t) di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30758: Christoph Guttandin di Media Codings
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30795: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30797: Ivan Fratric di Google Project Zero
WebKit
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2021-30799: Sergei Glazunov di Google Project Zero
Altri riconoscimenti
configd
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
CoreText
Ringraziamo Mickey Jin (@patch1t) di Trend Micro per l'assistenza.
crontabs
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
Power Management
Ringraziamo Pan ZhenPeng(@Peterpan0927) di Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), Lisandro Ubiedo (@_lubiedo) di Stratosphere Lab
Sandbox
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
Spotlight
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
sysdiagnose
Ringraziamo Carter Jones (linkedin.com/in/carterjones/) e Tim Michaud (@TimGMichaud) di Zoom Video Communications per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.