Zawartość związana z zabezpieczeniami w systemie macOS Monterey 12.0.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Monterey 12.0.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Monterey 12.0.1

Wydano 25 października 2021 r.

AppKit

Dostępne dla: komputerów Mac Pro (2013 r. i nowszych), MacBook Air (początek 2015 r. i nowszych), MacBook Pro (początek 2015 r. i nowszych), Mac mini (koniec 2014 r. i nowszych), iMac (koniec 2015 r. i nowszych), MacBook (początek 2016 r, i nowszych), iMac Pro (2017 r. i nowszych)

Zagrożenie: złośliwa aplikacja może zdobyć podwyższone uprawnienia.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30873: Thijs Alkemade z Computest

AppleScript

Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie aplikacji lub ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

App Store

Zagrożenie: złośliwie spreparowana aplikacja może uzyskiwać dostęp do kont Apple ID użytkowników lokalnych.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2021-30994: Sergii Kryvoblotskyi z MacPaw Inc.

Wpis dodano 25 maja 2022 r.

Audio

Zagrożenie: złośliwa aplikacja może zdobyć podwyższone uprawnienia.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30907: Zweig z Kunlun Lab

Bluetooth

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.

CVE-2021-30899: Weiteng Chen, Zheng Zhang i Zhiyun Qian z UC Riverside oraz Yu Wang z Didi Research America

Bluetooth

Zagrożenie: złośliwa aplikacja może być w stanie ujawnić pamięć jądra

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2021-30931: Weiteng Chen, Zheng Zhang i Zhiyun Qian z UC Riverside oraz Yu Wang z Didi Research America

Wpis dodano 18 listopada 2021 r.

bootp

Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.

Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.

CVE-2021-30866: Fabien Duchêne z UCLouvain (Belgium)

Wpis dodano 18 listopada 2021 r.

ColorSync

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze przetwarzania profilów ICC występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30917: Alexandru-Vlad Niculae i Mateusz Jurczyk z Google Project Zero

Continuity Camera

Zagrożenie: lokalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący niekontrolowanych łańcuchów formatu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30903: anonimowy badacz

Wpis uaktualniono 25 maja 2022 r.

CoreAudio

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować ujawnienie informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30905: Mickey Jin (@patch1t) z firmy Trend Micro

CoreGraphics

Zagrożenie: przetworzenie złośliwie spreparowanego pliku PDF może doprowadzić do wykonania dowolnego kodu

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30919

Directory Utility

Zagrożenie: złośliwie spreparowana aplikacja może uzyskiwać dostęp do kont Apple ID użytkowników lokalnych.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-9846: Wojciech Reguła (@_r3ggi)

Wpis dodano 31 marca 2022 r.

FileProvider

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.

CVE-2021-30881: Simon Huang(@HuangShaomang) i pjf z IceSword Lab firmy Qihoo 360

File System

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927) z Alibaba Security

Wpis dodano 18 listopada 2021 r.

FontParser

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30831: Xingwei Lin z Ant Security Light-Year Lab

Wpis dodano 18 listopada 2021 r.

FontParser

Zagrożenie: przetworzenie złośliwie spreparowanego pliku DFONT może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30840: Xingwei Lin z Ant Security Light-Year Lab

Wpis dodano 18 listopada 2021 r.

Foundation

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2021-30852: Yinyi Wu (@3ndy1) z Ant Security Light-Year Lab

Wpis dodano 18 listopada 2021 r.

Game Center

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do informacji o kontaktach użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30895: Denis Tokarev

Game Center

Zagrożenie: złośliwa aplikacja może być w stanie odczytać dane dotyczące rozgrywki użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30896: Denis Tokarev

Graphics Drivers

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.

CVE-2021-30933: Jack Dates z RET2 Systems, Inc.

Wpis dodano 31 marca 2022 r.

iCloud

Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30906: Cees Elzinga

iCloud Photo Library

Zagrożenie: złośliwa aplikacja może mieć dostęp do metadanych zdjęć bez konieczności posiadania pozwolenia na dostęp do zdjęć.

Opis: ten błąd naprawiono przez ulepszenie uwierzytelniania.

CVE-2021-30867: Csaba Fitzl (@theevilbit) z Offensive Security

Wpis dodano 18 listopada 2021 r.

ImageIO

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30814: hjy79425575

Wpis dodano 18 listopada 2021 r.

Intel Graphics Driver

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono liczne błędy zapisu poza granicami przez poprawienie mechanizmu sprawdzania granic.

CVE-2021-30922: Jack Dates z RET2 Systems, Inc., Yinyi Wu (@3ndy1)

Wpis dodano 31 marca 2022 r.

Intel Graphics Driver

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2021-30824: Antonio Zekic (@antoniozekic) z Diverto

Intel Graphics Driver

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono liczne błędy zapisu poza granicami przez poprawienie mechanizmu sprawdzania granic.

CVE-2021-30901: Zuozhi Fan (@pattern_F_) z Ant Security TianQiong Lab, Yinyi Wu (@3ndy1) z Ant Security Light-Year Lab, Jack Dates z RET2 Systems, Inc.

IOGraphics

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30821: Tim Michaud (@TimGMichaud) z Zoom Video Communications

IOMobileFrameBuffer

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30883: anonimowy badacz

Kernel

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane ponowne uruchomienie urządzenia.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) z Effective i Alexey Katkov (@watman27)

Wpis dodano 18 listopada 2021 r.

Kernel

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2021-30886: @0xalsr

Kernel

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30909: Zweig z Kunlun Lab

Kernel

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30916: Zweig z Kunlun Lab

LaunchServices

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30864: Ron Hass (@ronhass7) z Perception Point

Login Window

Zagrożenie: osoba mająca dostęp do hosta Mac może być w stanie ominąć okno logowania w trybie Remote Desktop w przypadku zablokowanego wystąpienia systemu macOS.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2021-30813: Benjamin Berger z BBetterTech LLC, Peter Goedtkindt z Informatique-MTF S.A., anonimowy badacz

Wpis uaktualniono 25 maja 2022 r.

Managed Configuration

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie ujawnić poufne informacje użytkownika

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-31011: Michal Moravec zLogicworks, s.r.o.

Wpis dodano 16 września 2022 r.

Messages

Zagrożenie: wiadomości użytkownika mogą być nadal synchronizowane po wylogowaniu się użytkownika z iMessage.

Opis: naprawiono błąd synchronizacji przez poprawienie procedury sprawdzania poprawności stanu.

CVE-2021-30904: Reed Meseck z IBM

Wpis dodano 18 listopada 2021 r.

Model I/O

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować ujawnienie informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30910: Mickey Jin (@patch1t) z firmy Trend Micro

Model I/O

Zagrożenie: przetwarzanie złośliwie spreparowanego pliku USD może spowodować ujawnienie zawartości pamięci.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30911: Rui Yang i Xingwei Lin z Ant Security Light-Year Lab

NetworkExtension

Zagrożenie: konfiguracja VPN może zostać zainstalowana przez aplikację bez zgody użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2021-30874: Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)

Wpis dodano 18 listopada 2021 r.

Sandbox

Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30808: Csaba Fitzl (@theevilbit) z Offensive Security

Wpis dodano 18 listopada 2021 r.

Sandbox

Zagrożenie: lokalny atakujący może być w stanie odczytać poufne informacje.

Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.

CVE-2021-30920: Csaba Fitzl (@theevilbit) z Offensive Security

Security

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2021-31004: Csaba Fitzl (@theevilbit) z Offensive Security

Wpis dodano czwartek, 31 marca 2022 r.

SMB

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng ze STAR Labs

Wpis dodano 16 września 2022 r.

SMB

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2021-30868: Peter Nguyen Vu Hoang ze STAR Labs

SoftwareUpdate

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do elementów pęku kluczy użytkownika.

Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.

CVE-2021-30912: Kirin (@Pwnrin) i chenyuwang (@mzzzz__) z Tencent Security Xuanwu Lab

SoftwareUpdate

Zagrożenie: aplikacja bez uprawnień może mieć możliwość edytowania zmiennych pamięci NVRAM.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30913: Kirin (@Pwnrin) i chenyuwang (@mzzzz__) z Tencent Security Xuanwu Lab

Wpis uaktualniono 25 maja 2022 r.

UIKit

Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może ustalić cechy hasła użytkownika w bezpiecznym polu wprowadzania tekstu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Zagrożenie: wyłączenie ustawienia „Blokuj całą zawartość zdalną” może nie mieć zastosowania do wszystkich typów zawartości zdalnej.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-31005: Jonathan Austin z Wells Fargo, Attila Soki

Wpis dodano czwartek, 31 marca 2022 r.

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2021-31008

Wpis dodano czwartek, 31 marca 2022 r.

WebKit

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: w specyfikacji interfejsu API do pomiaru czasu zasobów występował błąd. Uaktualniono specyfikację i wdrożono uaktualnioną specyfikację.

CVE-2021-30897: anonimowy badacz

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie historii stron odwiedzonych przez użytkownika.

Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących komponowania CSS.

CVE-2021-30884: anonimowy badacz

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30818: Amar Menezes (@amarekano) z Zon8Research

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może spowodować ujawnienie zastrzeżonej pamięci.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30836: Peter Nguyen Vu Hoang ze STAR Labs

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30846: Sergei Glazunov z Google Project Zero

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30849: Sergei Glazunov z Google Project Zero

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30848: Sergei Glazunov z Google Project Zero

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2021-30851: Samuel Groß z Google Project Zero

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2021-30809: anonimowy badacz

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie obejść zabezpieczenia HSTS.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30823: David Gullasch z Recurity Labs

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować nieoczekiwane niewymuszone zastosowanie reguł Content Security Policy.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) z Suma Soft Pvt. Ltd.

WebKit

Zagrożenie: złośliwa witryna korzystająca z raportów Content Security Policy może doprowadzić do wycieku informacji przez przekierowania.

Opis: naprawiono błąd związany z wyciekiem informacji.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2021-30889: Chijin Zhou z ShuiMuYuLin Ltd i Tsinghua wingtecher lab

WebKit

Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30861: Wojciech Reguła (@_r3ggi), Ryan Pickren (ryanpickren.com)

WebKit

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30890: anonimowy badacz

WebRTC

Zagrożenie: osoba atakująca może być w stanie śledzić użytkowników za pomocą ich adresów IP.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30930: Oguz Kırat, Matthias Keller (m-keller.com)

Wpis dodano 18 listopada 2021 r., uaktualniono 16 września 2022 r.

Windows Server

Zagrożenie: osoba atakująca lokalnie może być w stanie wyświetlić biurko poprzednio zalogowanego użytkownika na ekranie szybkiego przełączania użytkowników.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2021-30908: ASentientBot

xar

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może umożliwić osobie atakującej zapisanie dowolnych plików.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30833: Richard Warren z NCC Group

zsh

Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd dziedziczonych uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2021-30892: Jonathan Bar Or z Microsoft

Dodatkowe podziękowania

APFS

Dziękujemy za udzieloną pomoc: Koh M. Nakagawa z FFRI Security, Inc.

AppleScript

Dziękujemy za udzieloną pomoc: Jeremy Brown.

Wpis dodano czwartek, 31 marca 2022 r.

App Support

Dziękujemy za udzieloną pomoc: anonimowy badacz, 漂亮鼠 of 赛博回忆录.

Bluetooth

Dziękujemy za udzieloną pomoc: say2 z ENKI.

bootp

Dziękujemy za udzieloną pomoc: Alexander Burke (alexburke.ca).

Wpis dodano czwartek, 31 marca 2022 r.

CUPS

Dziękujemy za udzieloną pomoc: Nathan Nye z WhiteBeam Security.

Wpis uaktualniono 31 marca 2022 r.

iCloud

Dziękujemy za udzieloną pomoc: Ryan Pickren (ryanpickren.com).

Kernel

Dziękujemy za udzieloną pomoc: Anthony Steinhauser z projektu Safeside firmy Google oraz Joshua Baums z Informatik Baums.

Wpis uaktualniono 18 listopada 2021 r.

Mail

Dziękujemy za udzieloną pomoc: Fabian Ising i Damian Poddebniak z Münster University of Applied Sciences.

Managed Configuration

Dziękujemy za udzieloną pomoc: Michal Moravec z Logicworks, s.r.o.

Setup Assistant

Dziękujemy za udzieloną pomoc: David Schütz (@xdavidhu).

Wpis dodano czwartek, 18 listopada 2021 r.

smbx

Dziękujemy za udzieloną pomoc: Zhongcheng Li (CK01).

UIKit

Dziękujemy za udzieloną pomoc: Jason Rendel z Diligent.

Wpis dodano czwartek, 18 listopada 2021 r.

WebKit

Dziękujemy za udzieloną pomoc: Ivan Fratric z Google Project Zero, Pavel Gromadchuk, Nikhil Mittal (@c0d3G33k) i Matthias Keller (m-keller.com).

Wpis uaktualniono 25 maja 2022 r.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 3 listopada 2023 г.