Over de beveiligingsinhoud van macOS Big Sur 11.3

In dit document wordt de beveiligingsinhoud van macOS Big Sur 11.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Big Sur 11.3

APFS

Beschikbaar voor: macOS Big Sur

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1853: Gary Nield van ECSC Group plc en Tim Michaud (@TimGMichaud) van Zoom Video Communications

AppleMobileFileIntegrity

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een probleem met de ondertekening van code is verholpen door verbeterde controles.

CVE-2021-1849: Siguza

Apple Neural Engine

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) en Wish Wu (吴潍浠) van het Ant Group Tianqiong Security Lab

Archive Utility

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1810: Rasmus Sten (@pajp) van F-Secure

Audio

Beschikbaar voor: macOS Big Sur

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1808: JunDong Xie van het Ant Security Light-Year Lab

CFNetwork

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1857: een anonieme onderzoeker

Compression

Beschikbaar voor: macOS Big Sur

Impact: een probleem met het lezen buiten het bereik is verholpen door verbeterde invoervalidatie

Beschrijving: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code.

CVE-2021-30752: Ye Zhang (@co0py_Cat) van Baidu Security

CoreAudio

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30664: JunDong Xie van het Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan beperkt geheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1846: JunDong Xie van het Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan beperkt geheugen lezen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1809: JunDong Xie van het Ant Security Light-Year Lab

CoreFoundation

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2021-30659: Thijs Alkemade van Computest

CoreGraphics

Beschikbaar voor: macOS Big Sur

Impact: het openen van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1847: Xuwei Liu van Purdue University

CoreText

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1811: Xingwei Lin van het Ant Security Light-Year Lab

curl

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardige server kan actieve voorzieningen vrijgeven

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-8284: Marian Rehak

curl

Beschikbaar voor: macOS Big Sur

Impact: een aanvaller kan een frauduleuze OCSP-reactie verstrekken die geldig lijkt te zijn

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-8286: een anonieme onderzoeker

curl

Beschikbaar voor: macOS Big Sur

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: een bufferoverloop is verholpen door verbeterde invoervalidatie.

CVE-2020-8285: xnynx

DiskArbitration

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: er was een probleem met bevoegdheden in DiskArbitration. Dit is verholpen door extra controles van de eigendomsrechten.

CVE-2021-1784: Mikko Kenttälä (@Turmio_) van SensorFu, Csaba Fitzl (@theevilbit) van Offensive Security en een anonieme onderzoeker

FaceTime

Beschikbaar voor: macOS Big Sur

Impact: het dempen van een CallKit-oproep terwijl die overgaat leidt mogelijk niet tot het inschakelen van de dempfunctie

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1872: Siraj Zaneer van Facebook

FontParser

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1881: een anonieme onderzoeker, Xingwei Lin van het Ant Security Light-Year Lab, Mickey Jin van Trend Micro en Hou JingYi (@hjy79425575) van Qihoo 360

Foundation

Beschikbaar voor: macOS Big Sur

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2021-1813: Cees Elzinga

Heimdal

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde serverberichten kan leiden tot heapbeschadiging

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Beschikbaar voor: macOS Big Sur

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1880: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-30653: Ye Zhang van Baidu Security

CVE-2021-1814: Ye Zhang van Baidu Security, Mickey Jin en Qi Sun van Trend Micro en Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1843: Ye Zhang van Baidu Security

ImageIO

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1885: CFF van Topsec Alpha Team

ImageIO

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1858: Mickey Jin van Trend Micro

ImageIO

Beschikbaar voor: macOS Big Sur

Impact: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie

Beschrijving: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code.

CVE-2021-30743: Ye Zhang (@co0py_Cat) van Baidu Security, CFF van het Topsec Alpha Team, Jzhu in samenwerking met het Zero Day Initiative van Trend Micro, Xingwei Lin van het Ant Security Light-Year Lab, CFF van het Topsec Alpha Team, Jeonghoon Shin (@singi21a) van THEORI in samenwerking met het Zero Day Initiative van Trend Micro

Installer

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen

Beschrijving: dit probleem is verholpen door verbeterde verwerking van metagegevens van bestanden.

CVE-2021-30658: Wojciech Reguła (@_r3ggi) van SecuRing

Intel Graphics Driver

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1841: Jack Dates van RET2 Systems, Inc.

CVE-2021-1834: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: macOS Big Sur

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1860: @0xalsr

Kernel

Beschikbaar voor: macOS Big Sur

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1840: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

Kernel

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1851: @0xalsr

Kernel

Beschikbaar voor: macOS Big Sur

Impact: gekopieerde bestanden hebben mogelijk niet de verwachte bestandsbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2021-1832: een anonieme onderzoeker

Kernel

Beschikbaar voor: macOS Big Sur

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30660: Alex Plaskett

libxpc

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2021-30652: James Hutchins

libxslt

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2021-1875: gevonden door OSS-Fuzz

Login Window

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma met rootbevoegdheden kan toegang krijgen tot privé-informatie

Beschrijving: dit probleem is verholpen door middel van verbeterde bevoegdheden.

CVE-2021-1824: Wojciech Reguła (@_r3ggi) van SecuRing

Notes

Beschikbaar voor: macOS Big Sur

Impact: inhoud van vergrendelde notities is mogelijk onverwachts ontgrendeld

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1859: Syed Ali Shuja (@SyedAliShuja) van Colour King Pvt. Ltd

NSRemoteView

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-1876: Matthew Denton van Google Chrome

Preferences

Beschikbaar voor: macOS Big Sur

Impact: een lokale gebruiker kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2021-1815: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardige website kan gebruikers mogelijk volgen door de status in te stellen in een cache

Beschrijving: er was een probleem met het vaststellen van de cachebezetting. Het probleem is verholpen door verbeterde logica.

CVE-2021-1861: Konstantinos Solomos van University of Illinois in Chicago

Safari

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardige website kan onnodige netwerkverbindingen afdwingen voor het ophalen van de favicon van de website

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1855: Håvard Mikkelsen Ottestad van HASMAC AS

SampleAnalysis

Beschikbaar voor: macOS Big Sur

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1868: Tim Michaud van Zoom Communications

Sandbox

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma heeft mogelijk toegang tot recente contacten van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2021-30750: Csaba Fitzl (@theevilbit) van Offensive Security

smbx

Beschikbaar voor: macOS Big Sur

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2021-1878: Aleksandar Nikolic van Cisco Talos (talosintelligence.com)

System Preferences

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-30657: Cedric Owens (@cedowens)

TCC

Beschikbaar voor: macOS Big Sur

Impact: een schadelijke app zonder sandbox op een systeem met ingeschakelde externe aanmelding kan de privacyvoorkeuren omzeilen

Beschrijving: dit probleem is opgelost door een nieuwe externe-aanmeldingsoptie toe te voegen voor volledige schijftoegang voor Secure Shell-sessies.

CVE-2021-30856: Csaba Fitzl (@theevilbit) van Offensive Security, Andy Grant van Zoom Video Communications, Thijs Alkemade van Computest Research Division, Wojciech Reguła van SecuRing (wojciechregula.blog), Cody Thomas van SpecterOps, Mickey Jin van Trend Micro

tcpdump

Beschikbaar voor: macOS Big Sur

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-8037: een anonieme onderzoeker

Time Machine

Beschikbaar voor: macOS Big Sur

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2021-1839: Tim Michaud (@TimGMichaud) van Zoom Video Communications en Gary Nield van ECSC Group plc

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een cross-site scripting-aanval

Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.

CVE-2021-1825: Alex Camboe van Aon's Cyber Solutions

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-1817: zhunki

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-1826: een anonieme onderzoeker

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1820: André Bargull

WebKit Storage

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-30661: yangkang (@dnpushme) van 360 ATA

WebRTC

Beschikbaar voor: macOS Big Sur

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-7463: Megan2013678

Wi-Fi

Beschikbaar voor: macOS Big Sur

Impact: een programma kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1828: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

Wi-Fi

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2021-1829: Tielei Wang van Pangu Lab

Wi-Fi

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2021-30655: Gary Nield van ECSC Group plc en Tim Michaud (@TimGMichaud) van Zoom Video Communications en Wojciech Reguła (@_r3ggi) van SecuRing

Wi-Fi

Beschikbaar voor: macOS Big Sur

Impact: een logicaprobleem is verholpen door een verbeterd statusbeheer

Beschrijving: een bufferoverloop kan leiden tot het uitvoeren van willekeurige code.

CVE-2021-1770: Jiska Classen (@naehrdine) van het Secure Mobile Networking Lab van de TU Darmstadt

WindowServer

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan onverwacht de inloggegevens van een gebruiker in beveiligde tekstvelden vrijgeven

Beschrijving: een API-probleem in TCC-bevoegdheden voor toegankelijkheid is verholpen door verbeterd statusbeheer.

CVE-2021-1873: een anonieme onderzoeker

Aanvullende erkenning

AirDrop

Met dank aan @maxzks voor de hulp.

CoreAudio

Met dank aan een anonieme onderzoeker voor de hulp.

CoreCrypto

Met dank aan Andy Russon van de Orange Group voor de hulp.

File Bookmark

Met dank aan een anonieme onderzoeker voor de hulp.

Foundation

Met dank aan CodeColorist van Ant-Financial LightYear Labs voor de hulp.

Kernel

Met dank aan Antonio Frighetto van Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) van SensorFu en Proteas voor de hulp.

Mail

Met dank aan Petter Flink, SecOps van Bonnier News en een anonieme onderzoeker voor de hulp.

Safari

Met dank aan Sahil Mehra (Nullr3x) en Shivam Kamboj Dattana (Sechunt3r) voor de hulp.

Security

Met dank aan Xingwei Lin van het Ant Security Light-Year Lab en john (@nyan_satan) voor de hulp.

sysdiagnose

Met dank aan Tim Michaud (@TimGMichaud) van Leviathan voor de hulp.

WebKit

Met dank aan Emilio Cobos Álvarez van Mozilla voor de hulp.

WebSheet

Met dank aan Patrick Clover voor de hulp.