Om sikkerhetsinnholdet i macOS Big Sur 11.5
Dette dokumentet beskriver sikkerhetsinnholdet i macOS Big Sur 11.5.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.5
AMD Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2021-30805: ABC Research s.r.o
Analytics
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan få tilgang til analysedata
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
AppKit
Tilgjengelig for: macOS Big Sur
Virkning: Å åpne en skadelig fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.
CVE-2021-30790: hjy79425575 i samarbeid med Trend Micro Zero Day Initiative
App Store
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2021-31006: Csaba Fitzl (@theevilbit) fra Offensive Security
Audio
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30781: tr3e
AVEVideoEncoder
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30748: George Nosenko
CoreAudio
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30775: JunDong Xie fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for: macOS Big Sur
Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30776: JunDong Xie fra Ant Security Light-Year Lab
CoreGraphics
Tilgjengelig for: macOS Big Sur
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2021-30786: ryuzaki
CoreServices
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30772: Zhongcheng Li (CK01)
CoreServices
Tilgjengelig for: macOS Big Sur
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.
CVE-2021-30783: Ron Waisberg (@epsilan)
CoreStorage
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med innsetting ble løst gjennom forbedret validering.
CVE-2021-30777: Tim Michaud (@TimGMichaud) fra Zoom Video Communications og Gary Nield fra ECSC Group plc
CoreText
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30789: Mickey Jin (@patch1t) fra Trend Micro og Sunglin fra Knownsec 404-teamet
Crash Reporter
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30774: Yizhuo Wang fra Group of Software Security In Progress (G.O.S.S.I.P) ved Shanghai Jiao Tong University
CVMS
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30780: Tim Michaud (@TimGMichaud) fra Zoom Video Communications
dyld
Tilgjengelig for: macOS Big Sur
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30768: Linus Henze (pinauten.de)
Family Sharing
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få tilgang til data om kontoene som brukeren bruker til Familiedeling
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2021-30817: Csaba Fitzl (@theevilbit) i Offensive Security
Find My
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan få tilgang til Hvor er?-data
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2021-30804: Csaba Fitzl (@theevilbit) fra Offensive Security og Wojciech Reguła (@_r3ggi) fra SecuRing
FontParser
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2021-30760: Sunglin fra Knownsec 404-teamet
FontParser
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig TIFF-fil kan føre til tjenestenekt eller avsløring av minneinnhold
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30788: tr3e i samarbeid med Trend Micro Zero Day Initiative
FontParser
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.
CVE-2021-30759: hjy79425575 i samarbeid med Trend Micro Zero Day Initiative
Identity Services
Tilgjengelig for: macOS Big Sur
Virkning: Et ondsinnet program kan få tilgang til brukerens nyeste kontakter
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2021-30803: Matt Shockley (twitter.com/mattshockl) og Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) fra Baidu Security
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30785: CFF fra Topsec Alpha Team og Mickey Jin (@patch1t) fra Trend Micro
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30787: Anonym i samarbeid med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30766: Liu Long fra Ant Security Light-Year Lab
CVE-2021-30765: Yinyi Wu (@3ndy1) fra Qihoo 360 Vulcan-teamet og Liu Long fra Ant Security Light-Year Lab
IOKit
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å kjøre kode på Apple T2-sikkerhetsbrikken
Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.
CVE-2021-30784: George Nosenko
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30793: Zuozhi Fan (@pattern_F_) fra Ant Security TianQiong Lab
Kext Management
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2021-30778: Csaba Fitzl (@theevilbit) fra Offensive Security
LaunchServices
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.
CVE-2021-30677: Ron Waisberg (@epsilan)
libxml2
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-3518
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30796: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30792: Anonym i samarbeid med Trend Micro Zero Day Initiative
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fil kan avsløre brukerinformasjon
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30791: Anonym i samarbeid med Trend Micro Zero Day Initiative
Networking
Tilgjengelig for: macOS Big Sur
Virkning: Besøk på et skadelig nettsted kan forårsake tjenestenekt (DoS) på systemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Sandbox
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan få tilgang til begrensede filer
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30782: Csaba Fitzl (@theevilbit) fra Offensive Security
Security
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2021-31004: Csaba Fitzl (@theevilbit) fra Offensive Security
TCC
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30798: Mickey Jin (@patch1t) fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30758: Christoph Guttandin fra Media Codings
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30795: Sergei Glazunov fra Google Project Zero
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30797: Ivan Fratric fra Google Project Zero
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-30799: Sergei Glazunov fra Google Project Zero
Ytterligere anerkjennelser
configd
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
CoreText
Vi vil gjerne takke Mickey Jin (@patch1t) fra Trend Micro for hjelpen.
crontabs
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
Power Management
Vi vil gjerne takke Pan ZhenPeng (@Peterpan0927) fra Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) og Lisandro Ubiedo (@_lubiedo) fra Stratosphere Lab
Sandbox
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
Spotlight
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
sysdiagnose
Vi vil gjerne takke Carter Jones (linkedin.com/in/carterjones/) og Tim Michaud (@TimGMichaud) fra Zoom Video Communications for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.