Zawartość związana z zabezpieczeniami w systemie macOS Big Sur 11.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Big Sur 11.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Big Sur 11.4

AMD

Dostępne dla: systemu macOS Big Sur

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30678: Yu Wang z Didi Research America

AMD

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30676: shrek_wzw

App Store

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2021-30688: Thijs Alkemade z Computest Research Division

AppleScript

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30669: Yair Hoffman

Audio

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30707: hjy79425575 w ramach programu Zero Day Initiative firmy Trend Micro

Audio

Dostępne dla: systemu macOS Big Sur

Zagrożenie: analizowanie złośliwie spreparowanego pliku audio może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30685: Mickey Jin (@patch1t) z firmy Trend Micro

Bluetooth

Dostępne dla: systemu macOS Big Sur

Zagrożenie: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

Opis: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

CVE-2021-30672: say2 z ENKI

Core Services

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2021-30681: Zhongcheng Li (CK01)

CoreAudio

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może spowodować ujawnienie zastrzeżonej pamięci.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30686: Mickey Jin z Trend Micro

CoreText

Dostępne dla: systemu macOS Big Sur

Zagrożenie: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

Opis: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

CVE-2021-30733: Sunglin z Knownsec 404

CVE-2021-30753: Xingwei Lin z Ant Security Light-Year Lab

Crash Reporter

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30727: Cees Elzinga

CVMS

Dostępne dla: systemu macOS Big Sur

Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30724: Mickey Jin (@patch1t) z firmy Trend Micro

Dock

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do historii połączeń użytkownika.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2021-30673: Josh Parnham (@joshparnham)

FontParser

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30771: Mickey Jin (@patch1t) z Trend Micro, CFF z Topsec Alpha Team

FontParser

Dostępne dla: systemu macOS Big Sur

Zagrożenie: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

Opis: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

CVE-2021-30755: Xingwei Lin z Ant Security Light-Year Lab

Graphics Drivers

Dostępne dla: systemu macOS Big Sur

Zagrożenie: atakujący zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30684: Liu Long z Ant Security Light-Year Lab

Graphics Drivers

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30735: Jack Dates z RET2 Systems, Inc. (@ret2systems) w ramach programu Zero Day Initiative firmy Trend Micro.

Heimdal

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może przeprowadzić atak typu „odmowa usługi” (DoS) lub ujawnić zawartość pamięci

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwie spreparowana aplikacja mogła wykonać dowolny kod i doprowadzić w ten sposób do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetwarzanie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30687: Hou JingYi (@hjy79425575) z firmy Qihoo 360

ImageIO

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetwarzanie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30700: Ye Zhang (@co0py_Cat) z firmy Baidu Security

ImageIO

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30701: Mickey Jin (@patch1t) z firmy Trend Micro i Ye Zhang z firmy Baidu Security

ImageIO

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetwarzanie złośliwie spreparowanego pliku ASTC może spowodować ujawnienie zawartości pamięci

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30705: Ye Zhang z Baidu Security

ImageIO

Dostępne dla: systemu macOS Big Sur

Zagrożenie: ten błąd naprawiono przez poprawienie sprawdzania.

Opis: przetwarzanie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia informacji o użytkowniku.

CVE-2021-30706: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro, Jzhu w ramach programu Zero Day Initiative firmy Trend Micro

Intel Graphics Driver

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd odczytu poza dozwolonym zakresem przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2021-30719: anonimowy badacz w ramach programu Zero Day Initiative firmy Trend Micro

Intel Graphics Driver

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30728: Liu Long z Ant Security Light-Year Lab

CVE-2021-30726: Yinyi Wu (@3ndy1) z zespołu Vulcan firmy Qihoo 360

IOUSBHostFamily

Dostępne dla: systemu macOS Big Sur

Zagrożenie: ten błąd naprawiono przez poprawienie sprawdzania.

Opis: nieuprzywilejowana aplikacja może być w stanie przechwytywać urządzenia USB.

CVE-2021-30731: UTM (@UTMapp)

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30704: anonimowy badacz

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30715: brytyjska organizacja National Cyber Security Centre (NCSC)

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2021-30736: Ian Beer z Google Project Zero

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2021-30739: Zuozhi Fan (@pattern_F_) z Ant Group Tianqiong Security Lab

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: naprawiono błąd dwukrotnego zwolnienia pamięci przez poprawienie procedury zarządzania pamięcią.

Opis: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

CVE-2021-30703: anonimowy badacz

Kext Management

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik lokalny może być w stanie wczytać niepodpisane rozszerzenia jądra.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30680: Csaba Fitzl (@theevilbit) z Offensive Security

LaunchServices

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie procedury oczyszczania środowiska.

CVE-2021-30677: Ron Waisberg (@epsilan)

Login Window

Dostępne dla: systemu macOS Big Sur

Zagrożenie: osoba z fizycznym dostępem do komputera Mac może być w stanie ominąć okno logowania.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30702: Jewel Lambert z Original Spin, LLC.

Mail

Dostępne dla: systemu macOS Big Sur

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie sfałszować stan aplikacji.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30696: Fabian Ising i Damian Poddebniak z Münster University of Applied Sciences

MediaRemote

Dostępne dla: systemu macOS Big Sur

Zagrożenie: rozwiązano problem związany z sekcją Odtwarzane przez poprawienie uprawnień.

Opis: lokalny atakujący może przeglądać informacje z sekcji Odtwarzane z ekranu blokady.

CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)

Model I/O

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetwarzanie złośliwie spreparowanego pliku USD może spowodować ujawnienie zawartości pamięci

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2021-30723: Mickey Jin (@patch1t) z firmy Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t) z firmy Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t) z firmy Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t) z firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2021-30725: Mickey Jin (@patch1t) z firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetwarzanie złośliwie spreparowanego pliku USD może spowodować ujawnienie zawartości pamięci

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30746: Mickey Jin (@patch1t) z firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2021-30693: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) z firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetwarzanie złośliwie spreparowanego pliku USD może spowodować ujawnienie zawartości pamięci

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30695: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) z firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego pliku USD może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30708: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) z firmy Trend Micro

Model I/O

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetwarzanie złośliwie spreparowanego pliku USD może spowodować ujawnienie zawartości pamięci

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30709: Mickey Jin (@patch1t) z firmy Trend Micro

NSOpenPanel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

Dostępne dla: systemu macOS Big Sur

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-36226

CVE-2020-36227

CVE-2020-36223

CVE-2020-36224

CVE-2020-36225

CVE-2020-36221

CVE-2020-36228

CVE-2020-36222

CVE-2020-36230

CVE-2020-36229

PackageKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2021-30738: Qingyang Chen z Topsec Alpha Team i Csaba Fitzl (@theevilbit) z Offensive Security

Sandbox

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może obejść określone preferencje prywatności.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2021-30751: Csaba Fitzl (@theevilbit) z Offensive Security

Security

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci w dekoderze ASN.1 przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2021-30737: xerub

smbx

Dostępne dla: systemu macOS Big Sur

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30716: Aleksandar Nikolic z Cisco Talos

smbx

Dostępne dla: systemu macOS Big Sur

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2021-30717: Aleksandar Nikolic z Cisco Talos

smbx

Dostępne dla: systemu macOS Big Sur

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2021-30721: Aleksandar Nikolic z Cisco Talos

smbx

Dostępne dla: systemu macOS Big Sur

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2021-30722: Aleksandar Nikolic z Cisco Talos

smbx

Dostępne dla: systemu macOS Big Sur

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30712: Aleksandar Nikolic z Cisco Talos

Software Update

Dostępne dla: systemu macOS Big Sur

Zagrożenie: osoba z fizycznym dostępem do komputera Mac może być w stanie ominąć okno logowania podczas uaktualniania oprogramowania.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30668: Syrus Kimiagar i Danilo Paffi Monteiro

SoftwareUpdate

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik bez uprawnień może być w stanie zmodyfikować ustawienia z ograniczeniami.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30718: SiQian Wei z firmy ByteDance Security

TCC

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wysyłać nieautoryzowane zdarzenia Apple do Findera.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2021-30671: Ryan Bell (@iRyanBell)

TCC

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.

Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.

CVE-2021-30713: anonimowy badacz

WebKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd związany z obsługą różnych źródeł w elementach iframe przez poprawienie mechanizmu śledzenia źródeł informacji dotyczących zabezpieczeń.

CVE-2021-30744: Dan Hite z firmy jsontop

WebKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2021-21779: Marcin Towalski z Cisco Talos

WebKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30682: Prakash (@1lastBr3ath)

WebKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30689: anonimowy badacz

WebKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30749: anonimowy badacz i mipu94 z laboratorium SEFCOM, ASU. w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2021-30734: Jack Dates z RET2 Systems, Inc. (@ret2systems) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: złośliwa witryna może uzyskać dostęp do objętych ograniczeniami portów na dowolnych serwerach

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30720: David Schütz (@xdavidhu)

WebRTC

Dostępne dla: systemu macOS Big Sur

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-23841: Tavis Ormandy z Google

CVE-2021-30698: Tavis Ormandy z Google

Dodatkowe podziękowania

App Store

Dziękujemy za udzieloną pomoc: Thijs Alkemade z Computest (dział badań).

CoreCapture

Dziękujemy za udzieloną pomoc: Zuozhi Fan (@pattern_F_) z Ant-financial TianQiong Security Lab.

ImageIO

Dziękujemy Jzhu współpracującemu w ramach programu Zero Day Initiative firmy Trend Micro i anonimowemu badaczowi za ich pomoc.

Mail Drafts

Dziękujemy za udzieloną pomoc: Lauritz Holtmann (@_lauritz_).

WebKit

Dziękujemy za udzieloną pomoc: Chris Salls (@salls) z Makai Security.