Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Big Sur 11.5
Lançada em 21 de julho de 2021
AMD Kernel
Disponível para: macOS Big Sur
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2021-30805: ABC Research s.r.o
Analytics
Disponível para: macOS Big Sur
Impacto: um invasor local pode acessar dados de análise
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Entrada adicionada em 25 de outubro de 2021 e atualizada em 25 de maio de 2022
AppKit
Disponível para: macOS Big Sur
Impacto: abrir um arquivo criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários
Descrição: um problema de divulgação de informações foi resolvido por meio da remoção do código vulnerável.
CVE-2021-30790: hjy79425575 em parceria com a Zero Day Initiative da Trend Micro
App Store
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode conseguir ignorar determinadas preferências de privacidade
Descrição: um problema de permissão foi resolvido por meio de melhorias na validação.
CVE-2021-31006: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 25 de maio de 2022
Audio
Disponível para: macOS Big Sur
Impacto: um invasor local pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-30781: tr3e
AVEVideoEncoder
Disponível para: macOS Big Sur
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2021-30748: George Nosenko
CoreAudio
Disponível para: macOS Big Sur
Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2021-30775: JunDong Xie do Ant Security Light-Year Lab
CoreAudio
Disponível para: macOS Big Sur
Impacto: a reprodução de um arquivo de áudio malicioso pode levar ao encerramento inesperado de um aplicativo
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2021-30776: JunDong Xie do Ant Security Light-Year Lab
CoreGraphics
Disponível para: macOS Big Sur
Impacto: abrir um arquivo PDF criado com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.
CVE-2021-30786: ryuzaki
CoreServices
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode obter privilégios raiz
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-30772: Zhongcheng Li (CK01)
CoreServices
Disponível para: macOS Big Sur
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de acesso foi resolvido por meio de melhorias nas restrições de acesso.
CVE-2021-30783: Ron Waisberg (@epsilan)
CoreStorage
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode obter privilégios raiz
Descrição: um problema de injeção foi resolvido por meio de melhorias na validação.
CVE-2021-30777: Tim Michaud (@TimGMichaud) da Zoom Video Communications e Gary Nield do ECSC Group plc
CoreText
Disponível para: macOS Big Sur
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2021-30789: Mickey Jin (@patch1t) da Trend Micro, Sunglin da equipe Knownsec 404
Crash Reporter
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode obter privilégios raiz
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2021-30774: Yizhuo Wang do Group of Software Security In Progress (G.O.S.S.I.P) da Shanghai Jiao Tong University
CVMS
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode obter privilégios raiz
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2021-30780: Tim Michaud (@TimGMichaud) da Zoom Video Communications
dyld
Disponível para: macOS Big Sur
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2021-30768: Linus Henze (pinauten.de)
Family Sharing
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode conseguir acessar dados sobre contas com as quais o usuário usa o Compartilhamento Familiar
Descrição: um problema de permissão foi resolvido por meio de melhorias na validação.
CVE-2021-30817: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 25 de outubro de 2021
Find My
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode acessar o histórico de chamadas de um usuário
Descrição: um problema de permissão foi resolvido por meio de melhorias na validação.
CVE-2021-30804: Csaba Fitzl (@theevilbit) da Offensive Security, Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada em 22 de dezembro de 2022 e atualizada em 2 de maio de 2023
FontParser
Disponível para: macOS Big Sur
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2021-30760: Sunglin da Knownsec 404 team
FontParser
Disponível para: macOS Big Sur
Impacto: processar um arquivo TIFF criado com códigos maliciosos pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-30788: tr3e em parceria com a Zero Day Initiative da Trend Micro
FontParser
Disponível para: macOS Big Sur
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um estouro de pilha foi resolvido por meio de melhorias na validação de entradas.
CVE-2021-30759: hjy79425575 em parceria com a Zero Day Initiative da Trend Micro
Identity Services
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode conseguir acessar os Contatos recentes do usuário
Descrição: um problema de permissão foi resolvido por meio de melhorias na validação.
CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit) da Offensive Security
Entrada atualizada em 18 de novembro de 2021
ImageIO
Disponível para: macOS Big Sur
Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) da Baidu Security
ImageIO
Disponível para: macOS Big Sur
Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2021-30785: CFF da Topsec Alpha Team, Mickey Jin (@patch1t) da Trend Micro
Intel Graphics Driver
Disponível para: macOS Big Sur
Impacto: um aplicativo pode causar o encerramento inesperado do sistema ou escrever na memória do kernel
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-30787: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro
Intel Graphics Driver
Disponível para: macOS Big Sur
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2021-30766: Liu Long do Ant Security Light-Year Lab
CVE-2021-30765: Yinyi Wu (@3ndy1) da Qihoo 360 Vulcan Team, Liu Long do Ant Security Light-Year Lab
Entrada atualizada em 18 de novembro de 2021
IOKit
Disponível para: macOS Big Sur
Impacto: um invasor local pode conseguir executar códigos no chip Apple T2 Security
Descrição: vários problemas foram resolvidos por meio de melhorias na lógica.
CVE-2021-30784: George Nosenko
Kernel
Disponível para: macOS Big Sur
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2021-30793: Zuozhi Fan (@pattern_F_) do Ant Security TianQiong Lab
Kext Management
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode conseguir ignorar as preferências de privacidade
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2021-30778: Csaba Fitzl (@theevilbit) da Offensive Security
LaunchServices
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode sair de sua área restrita
Descrição: esse problema foi resolvido por meio de melhorias na limpeza do ambiente.
CVE-2021-30677: Ron Waisberg (@epsilan)
Entrada adicionada em 25 de outubro de 2021
libxml2
Disponível para: macOS Big Sur
Impacto: um invasor externo pode causar a execução arbitrária de códigos
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-3518
Model I/O
Disponível para: macOS Big Sur
Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2021-30796: Mickey Jin (@patch1t) da Trend Micro
Model I/O
Disponível para: macOS Big Sur
Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2021-30792: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro
Model I/O
Disponível para: macOS Big Sur
Impacto: processar um arquivo criado com códigos maliciosos pode divulgar informações do usuário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2021-30791: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro
Networking
Disponível para: macOS Big Sur
Impacto: acessar uma página criada com códigos maliciosos pode levar a uma negação de serviço do sistema
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Entrada adicionada em 25 de outubro de 2021
Sandbox
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode ter acesso a arquivos restritos
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-30782: Csaba Fitzl (@theevilbit) da Offensive Security
Security
Disponível para: macOS Big Sur
Impacto: um aplicativo pode obter privilégios elevados
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2021-31004: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 25 de maio de 2022
TCC
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode conseguir ignorar determinadas preferências de privacidade
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2021-30798: Mickey Jin (@patch1t) da Trend Micro em parceria com a Zero Day Initiative da Trend Micro
Entrada atualizada em 18 de novembro de 2021
WebKit
Disponível para: macOS Big Sur
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2021-30758: Christoph Guttandin da Media Codings
WebKit
Disponível para: macOS Big Sur
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2021-30795: Sergei Glazunov do Google Project Zero
WebKit
Disponível para: macOS Big Sur
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução de códigos
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-30797: Ivan Fratric do Google Project Zero
WebKit
Disponível para: macOS Big Sur
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2021-30799: Sergei Glazunov do Google Project Zero
Outros reconhecimentos
configd
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela ajuda.
CoreText
Gostaríamos de agradecer a Mickey Jin (@patch1t) da Trend Micro pela ajuda.
crontabs
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela ajuda.
Power Management
Gostaríamos de agradecer a Pan ZhenPeng(@Peterpan0927) do Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), Lisandro Ubiedo (@_lubiedo) do Stratosphere Lab
Entrada adicionada em 22 de dezembro de 2022
Sandbox
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela ajuda.
Spotlight
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela ajuda.
sysdiagnose
Gostaríamos de agradecer a Carter Jones (linkedin.com/in/carterjones/) e Tim Michaud (@TimGMichaud) da Zoom Video Communications pela ajuda.
Entrada adicionada em 25 de maio de 2022