Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.3
Utgitt 26. april 2021
APFS
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1853: Gary Nield i ECSC Group plc og Tim Michaud (@TimGMichaud) i Zoom Video Communications
AppleMobileFileIntegrity
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.
CVE-2021-1849: Siguza
Apple Neural Engine
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1867: Zuozhi Fan (@pattern_F_) og Wish Wu (吴潍浠) fra Ant Group Tianqiong Security Lab
Archive Utility
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå Gatekeeper-kontroller
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1810: Rasmus Sten (@pajp) i F-Secure
Oppføring oppdatert 27. april 2021
Audio
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1808: JunDong Xie fra Ant Security Light-Year Lab
CFNetwork
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1857: en anonym forsker
Compression
Tilgjengelig for: macOS Big Sur
Virkning: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata
Beskrivelse: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode.
CVE-2021-30752: Ye Zhang (@co0py_Cat) fra Baidu Security
Oppføring lagt til 21. juli 2021
CoreAudio
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30664: JunDong Xie fra Ant Security Light-Year Lab
Oppføring lagt til 6. mai 2021
CoreAudio
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1846: JunDong Xie fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan være i stand til å lese begrenset minne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1809: JunDong Xie fra Ant Security Light-Year Lab
CoreFoundation
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2021-30659: Thijs Alkemade fra Computest
CoreGraphics
Tilgjengelig for: macOS Big Sur
Virkning: Å åpne en skadelig fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1847: Xuwei Liu ved Purdue University
CoreText
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1811: Xingwei Lin fra Ant Security Light-Year Lab
curl
Tilgjengelig for: macOS Big Sur
Virkning: En ondsinnet server kan være i stand til å avsløre aktive tjenester
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-8284: Marian Rehak
Oppføring lagt til 6. mai 2021
curl
Tilgjengelig for: macOS Big Sur
Virkning: En angriper kan sende et falskt OCSP-svar som fremstår som gyldig
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-8286: en anonym gransker
curl
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: En bufferoverskridelse ble løst med bedre validering av inndata.
CVE-2020-8285: xnynx
DiskArbitration
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Det var et problem med rettigheter i DiskArbitration. Dette ble løst gjennom ytterligere kontroller av eierskap.
CVE-2021-1784: Mikko Kenttälä (@Turmio_) i SensorFu, Csaba Fitzl (@theevilbit) i Offensive Security og en anonym gransker
FaceTime
Tilgjengelig for: macOS Big Sur
Virkning: Hvis en CallKit-samtale dempes mens man ringer, kan det hende at dempingen ikke aktiveres
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1872: Siraj Zaneer fra Facebook
FontParser
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1881: en anonym forsker, Xingwei Lin fra Ant Security Light-Year Lab, Mickey Jin fra Trend Micro og Hou JingYi (@hjy79425575) fra Qihoo 360
Foundation
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2021-1813: Cees Elzinga
Heimdal
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig utformede servermeldinger kan føre til skade i heapen
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1880: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-30653: Ye Zhang fra Baidu Security
CVE-2021-1814: Ye Zhang i Baidu Security, Mickey Jin og Qi Sun i Trend Micro og Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1843: Ye Zhang fra Baidu Security
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1885: CFF fra Topsec Alpha Team
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1858: Mickey Jin fra Trend Micro
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata
Beskrivelse: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode.
CVE-2021-30743: Ye Zhang (@co0py_Cat) fra Baidu Security, CFF fra Topsec Alpha Team, Jzhu i samarbeid med Trend Micro Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab, CFF fra Topsec Alpha Team, Jeonghoon Shin (@singi21a) fra THEORI i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 21. juli 2021
Installer
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå Gatekeeper-kontroller
Beskrivelse: Dette problemet ble løst gjennom forbedret håndtering av metadata i filer.
CVE-2021-30658: Wojciech Reguła (@_r3ggi) i SecuRing
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1841: Jack Dates i RET2 Systems, Inc.
CVE-2021-1834: ABC Research s.r.o. i samarbeid med Trend Micro Zero Day Initiative
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: En skadelig app kan være i stand til å avdekke kjerneminnet
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1860: @0xalsr
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1840: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1851: @0xalsr
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Kopierte filer har kanskje ikke de forventede filtillatelsene
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-1832: en anonym forsker
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: En skadelig app kan være i stand til å avdekke kjerneminnet
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30660: Alex Plaskett
libxpc
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2021-30652: James Hutchins
libxslt
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fil kan føre til skade i heapen
Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.
CVE-2021-1875: funnet av OSS-Fuzz
Login Window
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program med rotrettigheter kan få tilgang til personlig informasjon
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2021-1824: Wojciech Reguła (@_r3ggi) i SecuRing
Notes
Tilgjengelig for: macOS Big Sur
Virkning: Innholdet i Låste notater kan uventet ha blitt låst opp
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1859: Syed Ali Shuja (@SyedAliShuja) i Colour King Pvt. Ltd
NSRemoteView
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-1876: Matthew Denton fra Google Chrome
Preferences
Tilgjengelig for: macOS Big Sur
Virkning: En lokal bruker kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem med analyse i behandlingen av registerbaner ble løst med forbedret validering av baner.
CVE-2021-1815: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig nettsted kan være i stand til å spore brukere ved å stille inn en tilstand i en buffer
Beskrivelse: Det var et problem med fastslåing av bufferbruken. Problemet ble løst med forbedret logikk.
CVE-2021-1861: Konstantinos Solomos ved University of Illinois i Chicago
Safari
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig nettsted kan være i stand til å tvinge unødvendige nettverksforbindelser til å hente nettstedets favicon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1855: Håvard Mikkelsen Ottestad i HASMAC AS
SampleAnalysis
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1868: Tim Michaud fra Zoom Communications
Sandbox
Tilgjengelig for: macOS Big Sur
Virkning: Et ondsinnet program kan få tilgang til brukerens kontakter fra den siste tiden
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-30750: Csaba Fitzl (@theevilbit) i Offensive Security
Oppføring lagt til 28. mai 2021
smbx
Tilgjengelig for: macOS Big Sur
Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2021-1878: Aleksandar Nikolic i Cisco Talos (talosintelligence.com)
System Preferences
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå Gatekeeper-kontroller. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30657: Cedric Owens (@cedowens)
Oppføring lagt til 27. april 2021, oppdatert 30. april 2021
TCC
Tilgjengelig for: macOS Big Sur
Virkning: En ondsinnet app som kjører uten sandkasseteknologi på et system der Ekstern pålogging er påslått, kan omgå personverninnstillinger
Beskrivelse: Problemet ble løst ved at det ble lagt til et nytt valg for Ekstern pålogging som styrer hvorvidt full disktilgang skal være påslått for Secure Shell-økter.
CVE-2021-30856: Csaba Fitzl (@theevilbit) fra Offensive Security, Andy Grant fra Zoom Video Communications, Thijs Alkemade fra Computest Research Division, Wojciech Reguła fra SecuRing (wojciechregula.blog), Cody Thomas fra SpecterOps, Mickey Jin fra Trend Micro
Oppføring lagt til 19. januar 2022, oppdatert 25. mai 2022
tcpdump
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-8037: en anonym gransker
Time Machine
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-1839: Tim Michaud (@TimGMichaud) i Zoom Video Communications og Gary Nield i ECSC Group plc
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2021-1825: Alex Camboe fra Aon’s Cyber Solutions
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1817: zhunki
Oppføring oppdatert 6. mai 2021
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-1826: en anonym forsker
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1820: André Bargull
Oppføring oppdatert 6. mai 2021
WebKit Storage
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30661: yangkang (@dnpushme) fra 360 ATA
WebRTC
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-7463: Megan2013678
Wi-Fi
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1828: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab
Wi-Fi
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1829: Tielei Wang fra Pangu Lab
Wi-Fi
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-30655: Gary Nield i ECSC Group plc, Tim Michaud (@TimGMichaud) i Zoom Video Communications og Wojciech Reguła (@_r3ggi) i SecuRing
Wi-Fi
Tilgjengelig for: macOS Big Sur
Virkning: Et logisk problem ble løst gjennom forbedret tilstandshåndtering
Beskrivelse: En bufferoverflyt kan føre til kjøring av vilkårlig kode.
CVE-2021-1770: Jiska Classen (@naehrdine) fra Secure Mobile Networking Lab, TU Darmstadt
Oppføring lagt til 21. juli 2021
WindowServer
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan være i stand til uventet å lekke en brukers påloggingsinformasjon fra sikrede tekstfelter
Beskrivelse: Et API-problem i Accessibility TCC-tillatelsene ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1873: en anonym gransker
Ytterligere anerkjennelser
AirDrop
Vi vil gjerne takke @maxzks for hjelpen.
Oppføring lagt til 6. mai 2021
CoreAudio
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 6. mai 2021
CoreCrypto
Vi vil gjerne takke Andy Russon fra Orange Group for hjelpen.
Oppføring lagt til 6. mai 2021
File Bookmark
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 6. mai 2021
Foundation
Vi vil gjerne takke CodeColorist fra Ant-Financial LightYear Labs for hjelpen.
Oppføring lagt til 6. mai 2021
Kernel
Vi vil gjerne takke Antonio Frighetto ved Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) i SensorFu og Proteas for hjelpen.
Oppføring lagt til 6. mai 2021
Vi vil gjerne takke Petter Flink, SecOps i Bonnier News og en anonym gransker for hjelpen.
Oppføring lagt til 6. mai 2021
Safari
Vi vil gjerne takke Sahil Mehra (Nullr3x) og Shivam Kamboj Dattana (Sechunt3r) for hjelpen.
Oppføring lagt til 6. mai 2021
Security
Vi vil gjerne takke Xingwei Lin fra Ant Security Light-Year Lab og john (@nyan_satan) for hjelpen.
Oppføring lagt til 6. mai 2021
sysdiagnose
Vi vil gjerne takke Tim Michaud (@TimGMichaud) fra Leviathan for hjelpen.
Oppføring lagt til 6. mai 2021
WebKit
Vi vil gjerne takke Emilio Cobos Álvarez fra Mozilla for hjelpen.
Oppføring lagt til 6. mai 2021
WebSheet
Vi vil gjerne takke Patrick Clover for hjelpen.
Oppføring lagt til 6. mai 2021