Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.4
Utgitt 24. mai 2021
AMD
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30678: Yu Wang fra Didi Research America
AMD
Tilgjengelig for: macOS Big Sur
Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminnet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30676: shrek_wzw
App Store
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2021-30688: Thijs Alkemade fra Computest Research Division
AppleScript
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå Gatekeeper-kontroller
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30669: Yair Hoffman
Audio
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30707: hjy79425575 i samarbeid med Trend Micro Zero Day Initiative
Audio
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig lydfil kan føre til at brukerinformasjon avsløres
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30685: Mickey Jin (@patch1t) fra Trend Micro
Bluetooth
Tilgjengelig for: macOS Big Sur
Virkning: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering
Beskrivelse: Et skadelig program kan være i stand til å få rotrettigheter
CVE-2021-30672: say2 fra ENKI
Oppføring lagt til 21. juli 2021
Core Services
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks. Problemet ble løst gjennom forbedret validering av symlinks.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30686: Mickey Jin fra Trend Micro
CoreText
Tilgjengelig for: macOS Big Sur
Virkning: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata
Beskrivelse: Behandling av en skadelig font kan føre til at prosessminne avsløres.
CVE-2021-30733: Sunglin fra Knownsec 404
CVE-2021-30753: Xingwei Lin fra Ant Security Light-Year Lab
Oppføring lagt til 21. juli 2021
Crash Reporter
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30727: Cees Elzinga
CVMS
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30724: Mickey Jin (@patch1t) fra Trend Micro
Dock
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan få tilgang til samtaleloggen til en bruker
Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30771: Mickey Jin (@patch1t) fra Trend Micro og CFF fra Topsec Alpha Team
Oppføring lagt til 19. januar 2022
FontParser
Tilgjengelig for: macOS Big Sur
Virkning: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata
Beskrivelse: Behandling av en skadelig font kan føre til at prosessminne avsløres
CVE-2021-30755: Xingwei Lin fra Ant Security Light-Year Lab
Oppføring lagt til 21. juli 2021
Graphics Drivers
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30684: Liu Long fra Ant Security Light-Year Lab
Graphics Drivers
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30735: Jack Dates fra RET2 Systems, Inc. (@ret2systems) i samarbeid med Trend Micro Zero Day Initiative
Heimdal
Tilgjengelig for: macOS Big Sur
Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan forårsake tjenestenekt eller potensielt avsløre minneinnhold
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kjøre vilkårlig kode som fører til avsløring av brukerinformasjon
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av et skadelig bilde kan føre til at brukerinformasjon avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30687: Hou JingYi (@hjy79425575) fra Qihoo 360
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av et skadelig bilde kan føre til at brukerinformasjon avsløres
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30700: Ye Zhang (@co0py_Cat) fra Baidu Security
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30701: Mickey Jin (@patch1t) fra Trend Micro og Ye Zhang fra Baidu Security
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av en skadelig ASTC-fil kan avsløre minneinnhold
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30705: Ye Zhang fra Baidu Security
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Problemet ble løst gjennom bedre kontroller
Beskrivelse: Behandlingen av et skadelig bilde kan føre til at brukerinformasjon avsløres.
CVE-2021-30706: en anonym i samarbeid med Trend Micro Zero Day Initiative, Jzhu i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 21. juli 2021
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminnet
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom fjerning av den sårbare koden.
CVE-2021-30719: en anonym gransker i samarbeid med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30728: Liu Long fra Ant Security Light-Year Lab
CVE-2021-30726: Yinyi Wu (@3ndy1) fra Qihoo 360 Vulcan Team
IOUSBHostFamily
Tilgjengelig for: macOS Big Sur
Virkning: Problemet ble løst gjennom bedre kontroller
Beskrivelse: Et program uten rettigheter kan være i stand til å ta opp USB-enheter.
CVE-2021-30731: UTM (@UTMapp)
Oppføring lagt til 21. juli 2021
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30704: en anonym forsker
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig melding kan føre til tjenestenekt
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30715: National Cyber Security Centre (NCSC) i Storbritannia
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2021-30736: Ian Beer fra Google Project Zero
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) fra Ant Group Tianqiong Security Lab
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring
Beskrivelse: Et program kan være i stand til å utføre vilkårlig kode med kjernerettigheter.
CVE-2021-30703: En anonym forsker
Oppføring lagt til 21. juli 2021
Kext Management
Tilgjengelig for: macOS Big Sur
Virkning: En lokal bruker kan være i stand til å laste inn usignerte kjernetillegg
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30680: Csaba Fitzl (@theevilbit) fra Offensive Security
LaunchServices
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.
CVE-2021-30677: Ron Waisberg (@epsilan)
Login Window
Tilgjengelig for: macOS Big Sur
Virkning: En person med fysisk tilgang til en Mac kan klare å omgå påloggingsvinduet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30702: Jewel Lambert fra Original Spin, LLC.
Tilgjengelig for: macOS Big Sur
Virkning: En angriper med forhøyet tilgang i nettverket kan forvrenge programtilstanden
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30696: Fabian Ising og Damian Poddebniak fra Münster University of Applied Sciences
MediaRemote
Tilgjengelig for: macOS Big Sur
Virkning: Et personvernproblem i Spilles nå ble løst med forbedrede tillatelser
Beskrivelse: En lokal angriper kan være i stand til å se Spilles nå-informasjon fra låst skjerm.
CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)
Oppføring lagt til 21. juli 2021
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av en skadelig USD-fil kan avsløre minneinnhold
Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.
CVE-2021-30723: Mickey Jin (@patch1t) ifra Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t) fra Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t) fra Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet avslutning av en app eller kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30725: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av en skadelig USD-fil kan avsløre minneinnhold
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30746: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2021-30693: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av en skadelig USD-fil kan avsløre minneinnhold
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30695: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet avslutning av en app eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30708: Mickey Jin (@patch1t) og Junzhi Lu (@pwn0rz) fra Trend Micro
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av en skadelig USD-fil kan avsløre minneinnhold
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30709: Mickey Jin (@patch1t) fra Trend Micro
NSOpenPanel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-36226
CVE-2020-36227
CVE-2020-36223
CVE-2020-36224
CVE-2020-36225
CVE-2020-36221
CVE-2020-36228
CVE-2020-36222
CVE-2020-36230
CVE-2020-36229
PackageKit
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan overskrive vilkårlige filer
Beskrivelse: Et problem med banevalideringslogikken for hardlenker ble løst med forbedret banerensing.
CVE-2021-30738: Qingyang Chen fra Topsec Alpha Team og Csaba Fitzl (@theevilbit) fra Offensive Security
Sandbox
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger
Beskrivelse: Problemet ble løst med forbedret databeskyttelse.
CVE-2021-30751: Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 21. juli 2021
Security
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av et skadelig sertifikat kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet i ASN.1-dekoderen ble løst ved å fjerne den sårbare koden.
CVE-2021-30737: xerub
smbx
Tilgjengelig for: macOS Big Sur
Virkning: En angriper med forhøyet tilgang i nettverket kan forårsake tjenestenekt
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30716: Aleksandar Nikolic fra Cisco Talos
smbx
Tilgjengelig for: macOS Big Sur
Virkning: En angriper i en privilegert nettverksposisjon kan utføre vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30717: Aleksandar Nikolic fra Cisco Talos
smbx
Tilgjengelig for: macOS Big Sur
Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2021-30721: Aleksandar Nikolic fra Cisco Talos
smbx
Tilgjengelig for: macOS Big Sur
Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.
CVE-2021-30722: Aleksandar Nikolic fra Cisco Talos
smbx
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30712: Aleksandar Nikolic fra Cisco Talos
Software Update
Tilgjengelig for: macOS Big Sur
Virkning: En person med fysisk tilgang til en Mac kan omgå påloggingsvinduet under en programvareoppdatering
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30668: Syrus Kimiagar og Danilo Paffi Monteiro
SoftwareUpdate
Tilgjengelig for: macOS Big Sur
Virkning: En bruker uten forhøyede rettigheter kan endre adgangsbegrensede innstillinger
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30718: SiQian Wei fra ByteDance Security
TCC
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan sende uautoriserte Apple-hendelser til Finder
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2021-30671: Ryan Bell (@iRyanBell)
TCC
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå personverninnstillinger. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2021-30713: en anonym forsker
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et opprinnelsesproblem med iframe-elementer ble løst med forbedret sporing av sikkerhetsopprinnelse.
CVE-2021-30744: Dan Hite fra jsontop
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-21779: Marcin Towalski fra Cisco Talos
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30682: Prakash (@1lastBr3ath)
Oppføring oppdatert 21. juli 2021
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30689: en anonym forsker
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-30749: en anonym forsker og mipu94 fra SEFCOM-laboratoriet ved Arizona State University i samarbeid med Trend Micro Zero Day Initiative
CVE-2021-30734: Jack Dates fra RET2 Systems, Inc. (@ret2systems) i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig nettsted kan få tilgang til adgangsbegrensede porter på vilkårlige servere
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30720: David Schütz (@xdavidhu)
WebRTC
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Derefereringen av en nullreferanse ble løst med forbedret validering av inndata.
CVE-2021-23841: Tavis Ormandy fra Google
CVE-2021-30698: Tavis Ormandy fra Google
Ytterligere anerkjennelser
App Store
Vi vil gjerne takke Thijs Alkemade fra Computest for hjelpen.
CoreCapture
Vi vil gjerne takke Zuozhi Fan (@pattern_F_) fra Ant-financial TianQiong Security Lab for hjelpen.
ImageIO
Vi vil gjerne takke Jzhu i samarbeid med Trend Micro Zero Day Initiative og en anonym forsker for hjelpen.
Mail Drafts
Vi vil gjerne takke Lauritz Holtmann (@_lauritz_) for hjelpen.
WebKit
Vi vil gjerne takke Chris Salls (@salls) fra Makai Security for hjelpen.