Om sikkerhetsinnholdet i macOS Big Sur 11.6.1
I dette dokumentet beskrives sikkerhetsinnholdet i macOS Big Sur 11.6.1.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.6.1
AppleScript
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30876: Jeremy Brown, hjy79425575
CVE-2021-30879: Jeremy Brown, hjy79425575
CVE-2021-30877: Jeremy Brown
CVE-2021-30880: Jeremy Brown
Audio
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2021-30907: Zweig fra Kunlun Lab
Bluetooth
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2021-30899: Weiteng Chen, Zheng Zhang og Zhiyun Qian fra UC Riverside og Yu Wang fra Didi Research America
ColorSync
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne i behandlingen av ICC-profiler ble løst gjennom forbedret inndatavalidering.
CVE-2021-30926: Jeremy Brown
ColorSync
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i behandlingen av ICC-profiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2021-30917: Alexandru-Vlad Niculae og Mateusz Jurczyk fra Google Project Zero
Continuity Camera
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et problem med ukontrollert formatstreng ble løst med forbedret validering av inndata.
CVE-2021-30903: Gongyu Ma fra Hangzhou Dianzi University
CoreAudio
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fil kan avsløre brukerinformasjon
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30905: Mickey Jin (@patch1t) fra Trend Micro
CoreGraphics
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig PDF-fil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30919
FileProvider
Tilgjengelig for: macOS Big Sur
Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret minnehåndtering.
CVE-2021-30881: Simon Huang (@HuangShaomang) og pjf fra IceSword Lab ved Qihoo 360
GPU Drivers
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2021-30900: Yinyi Wu (@3ndy1) fra Ant Security Light-Year Lab
iCloud
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30906: Cees Elzinga
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30824: Antonio Zekic (@antoniozekic) fra Diverto
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30901: Zuozhi Fan (@pattern_F_) fra Ant Security TianQiong Lab, Jack Dates fra RET2 Systems, Inc., Liu Long fra Ant Security Light-Year Lab, Yinyi Wu (@3ndy1) fra Ant Security Light-Year Lab
CVE-2021-30922: Jack Dates fra RET2 Systems, Inc., Yinyi Wu (@3ndy1)
IOGraphics
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2021-30821: Tim Michaud (@TimGMichaud) fra Zoom Video Communications
IOMobileFrameBuffer
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2021-30883: en anonym forsker
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2021-30909: Zweig fra Kunlun Lab
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2021-30916: Zweig fra Kunlun Lab
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fil kan avsløre brukerinformasjon
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30910: Mickey Jin (@patch1t) fra Trend Micro
Model I/O
Tilgjengelig for: macOS Big Sur
Virkning: Behandlingen av en skadelig USD-fil kan avsløre minneinnhold
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30911: Rui Yang og Xingwei Lin fra Ant Security Light-Year Lab
SMB
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan lekke minne
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30844: Peter Nguyen Vu Hoang fra STAR Labs
SMB
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2021-30868: Peter Nguyen Vu Hoang fra STAR Labs
SoftwareUpdate
Tilgjengelig for: macOS Big Sur
Virkning: Et program uten rettigheter kan være i stand til å redigere NVRAM-variabler
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30913: Kirin (@Pwnrin) og chenyuwang (@mzzzz__) fra Tencent Security Xuanwu Lab
SoftwareUpdate
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan få tilgang til en brukers nøkkelringelementer
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-30912: Kirin (@Pwnrin) og chenyuwang (@mzzzz__) fra Tencent Security Xuanwu Lab
UIKit
Tilgjengelig for: macOS Big Sur
Virkning: En person med fysisk tilgang til en enhet kan kanskje avgjøre karakteristikker for et brukerpassord i et sikkert tekstinndatafelt
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30915: Kostas Angelopoulos
Windows Server
Tilgjengelig for: macOS Big Sur
Virkning: En lokal angriper kan være i stand til å se den forrige påloggede brukerens skrivebord på skjermen for rask bytting av brukere
Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30908: ASentientBot
xar
Tilgjengelig for: macOS Big Sur
Virkning: Utpakking av et skadelig arkiv kan gi en angriper muligheten til å skrive tilfeldige filer
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30833: Richard Warren fra NCC Group
zsh
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem med nedarvede tillatelser ble løst med ekstra restriksjoner.
CVE-2021-30892: Jonathan Bar Or fra Microsoft
Ytterligere anerkjennelser
iCloud
Vi vil gjerne takke Ryan Pickren (ryanpickren.com) for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.