Over de beveiligingsinhoud van macOS Big Sur 11.5

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

Releasedatum: 21 juli 2021

AMD Kernel

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2021-30805: ABC Research s.r.o

Analytics

Beschikbaar voor: macOS Big Sur

Impact: een lokale aanvaller heeft mogelijk toegang tot analysegegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Toegevoegd op 25 oktober 2021, bijgewerkt op 25 mei 2022

AppKit

Beschikbaar voor: macOS Big Sur

Impact: het openen van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2021-30790: hjy79425575 in samenwerking met het Zero Day Initiative van Trend Micro

App Store

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.

CVE-2021-31006: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 25 mei 2022

Audio

Beschikbaar voor: macOS Big Sur

Impact: een lokale aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30781: tr3e

AVEVideoEncoder

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-30748: George Nosenko

CoreAudio

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-30775: JunDong Xie van Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor: macOS Big Sur

Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30776: JunDong Xie van Ant Security Light-Year Lab

CoreGraphics

Beschikbaar voor: macOS Big Sur

Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2021-30786: ryuzaki

CoreServices

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30772: Zhongcheng Li (CK01)

CoreServices

Beschikbaar voor: macOS Big Sur

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2021-30783: Ron Waisberg (@epsilan)

CoreStorage

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een probleem met invoegen is opgelost door een verbeterde validatie.

CVE-2021-30777: Tim Michaud (@TimGMichaud) van Zoom Video Communications en Gary Nield van ECSC Group plc

CoreText

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-30789: Mickey Jin (@patch1t) van Trend Micro, Sunglin van Knownsec 404 team

Crash Reporter

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30774: Yizhuo Wang van Group of Software Security In Progress (G.O.S.S.I.P) van Shanghai Jiao Tong University

CVMS

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30780: Tim Michaud (@TimGMichaud) van Zoom Video Communications

dyld

Beschikbaar voor: macOS Big Sur

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30768: Linus Henze (pinauten.de)

Family Sharing

Beschikbaar voor: macOS Big Sur

Impact: een kwaadwillig programma heeft mogelijk toegang tot gegevens over de accounts waarmee de gebruiker Delen met gezin gebruikt

Beschrijving: een probleem met bevoegdheden is verholpen door verbeterde validatie.

CVE-2021-30817: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 25 oktober 2021

Find My

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot 'Zoek mijn'-gegevens

Beschrijving: een probleem met bevoegdheden is verholpen door verbeterde validatie.

CVE-2021-30804: Csaba Fitzl (@theevilbit) van Offensive Security, Wojciech Reguła (@_r3ggi) van SecuRing

Toegevoegd op 22 december 2022, bijgewerkt op 2 mei 2023

FontParser

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.

CVE-2021-30760: Sunglin van Knownsec 404 team

FontParser

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd tiff-bestand kan leiden tot denial-of-service of mogelijk geheugeninhoud vrijgeven

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30788: tr3e in samenwerking met het Zero Day Initiative van Trend Micro

FontParser

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.

CVE-2021-30759: hjy79425575 in samenwerking met het Zero Day Initiative van Trend Micro

Identity Services

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma heeft mogelijk toegang tot recente contacten van een gebruiker

Beschrijving: een probleem met bevoegdheden is verholpen door verbeterde validatie.

CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit) van Offensive Security 

Bijgewerkt op 18 november 2021

ImageIO

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) van Baidu Security

ImageIO

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2021-30785: CFF van Topsec Alpha Team, Mickey Jin (@patch1t) van Trend Micro

Intel Graphics Driver

Beschikbaar voor: macOS Big Sur

Impact: een programma kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30787: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Intel Graphics Driver

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-30766: Liu Long van Ant Security Light-Year Lab

CVE-2021-30765: Yinyi Wu (@3ndy1) van Qihoo 360 Vulcan Team, Liu Long van Ant Security Light-Year Lab 

Bijgewerkt op 18 november 2021

IOKit

Beschikbaar voor: macOS Big Sur

Impact: een lokale aanvaller kan code uitvoeren op de Apple T2-beveiligingschip

Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.

CVE-2021-30784: George Nosenko

Kernel

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-30793: Zuozhi Fan (@pattern_F_) van Ant Security TianQiong Lab

Kext Management

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde bevoegdheden.

CVE-2021-30778: Csaba Fitzl (@theevilbit) van Offensive Security

LaunchServices

Beschikbaar voor: macOS Big Sur

Impact: een kwaadwillig programma kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door een verbeterde opschoning van de omgeving.

CVE-2021-30677: Ron Waisberg (@epsilan)

Toegevoegd op 25 oktober 2021

libxml2

Beschikbaar voor: macOS Big Sur

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-3518

Model I/O

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30796: Mickey Jin (@patch1t) van Trend Micro

Model I/O

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-30792: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Model I/O

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30791: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Networking

Beschikbaar voor: macOS Big Sur

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een denial of service van het systeem

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1821: Georgi Valkov (httpstorm.com)

Toegevoegd op 25 oktober 2021

Sandbox

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot beperkte bestanden

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2021-30782: Csaba Fitzl (@theevilbit) van Offensive Security

Security

Beschikbaar voor: macOS Big Sur

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2021-31004: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 25 mei 2022

TCC

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-30798: Mickey Jin (@patch1t) van Trend Micro in samenwerking met Trend Micro Zero Day Initiative

Bijgewerkt op 18 november 2021

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2021-30758: Christoph Guttandin van Media Codings

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-30795: Sergei Glazunov van Google Project Zero

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30797: Ivan Fratric van Google Project Zero

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-30799: Sergei Glazunov van Google Project Zero

configd

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.

CoreText

Met dank aan Mickey Jin (@patch1t) van Trend Micro voor de hulp.

crontabs

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.

Power Management

Met dank aan Pan ZhenPeng(@Peterpan0927) van Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), Lisandro Ubiedo (@_lubiedo) van Stratosphere Lab

Toegevoegd op donderdag 22 december 2022

Sandbox

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.

Spotlight

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.

sysdiagnose

Met dank aan Carter Jones (linkedin.com/in/carterjones/) en Tim Michaud (@TimGMichaud) van Zoom Video Communications voor de hulp.

Toegevoegd op 25 mei 2022