Obsah zabezpečenia v systéme macOS Big Sur 11.6.2
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Big Sur 11.6.2.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Big Sur 11.6.2
Archive Utility
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže obísť kontroly modulu Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30950: @gorelics
Bluetooth
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30931: Weiteng Chen, Zheng Zhang a Zhiyun Qian z univerzity UC Riverside a Yu Wang zo spoločnosti Didi Research America
Bluetooth
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30935: Anonymný výskumník
ColorSync
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní profilov ICC dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30942: Mateusz Jurczyk z tímu Google Project Zero
CoreAudio
Dostupné pre: macOS Big Sur
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30957: JunDong Xie z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: macOS Big Sur
Dopad: Analýza zvukového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30962: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupné pre: macOS Big Sur
Dopad: Analýza zvukového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30959: JunDong Xie z tímu Ant Security Light-Year Lab
CVE-2021-30961: JunDong Xie (Ant Security Light-Year Lab)
CVE-2021-30963: JunDong Xie z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: macOS Big Sur
Dopad: Prehratie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30958: JunDong Xie z tímu Ant Security Light-Year Lab
Crash Reporter
Dostupné pre: macOS Big Sur
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30945: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
File Provider
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis : Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2021-31007: Csaba Fitzl (@theevilbit) (Offensive Security)
FontParser
Dostupné pre: macOS Big Sur
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-31013: Daniel Lim Wee Soong z tímu STAR Labs
Game Center
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k informáciám o kontaktoch používateľa
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30895: Denis Tokarev (@illusionofcha0s)
Graphics Drivers
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30977: Jack Dates zo spoločnosti RET2 Systems, Inc.
Help Viewer
Dostupné pre: macOS Big Sur
Dopad: Spracovanie URL adresy so škodlivým kódom môže spôsobiť neočakávané spustenie JavaScriptu zo súboru na disku
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30969: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
ImageIO
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30939: Mickey Jin (@patch1t) (Trend Micro), Jaewon Min (Cisco Talos), Rui Yang a Xingwei Lin (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30981: Liu Long (Ant Security Light-Year Lab), Jack Dates (RET2 Systems, Inc.)
IOUSBHostFamily
Dostupné pre: macOS Big Sur
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo poškodenie haldy
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2021-30982: Weiteng Chen, Zheng Zhang a Zhiyun Qian z univerzity UC Riverside a Yu Wang zo spoločnosti Didi Research America
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30927: Xinru Chi z tímu Pangu Lab
CVE-2021-30980: Xinru Chi z tímu Pangu Lab
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2021-30937: Sergei Glazunov z tímu Google Project Zero
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30949: Ian Beer z tímu Google Project Zero
LaunchServices
Dostupné pre: macOS Big Sur
Dopad: Škodlivá aplikácia môže obísť kontroly modulu Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30990: Ron Masas z tímu BreakPoint.sh
LaunchServices
Dostupné pre: macOS Big Sur
Dopad: Škodlivá aplikácia môže obísť kontroly modulu Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30976: chenyuwang (@mzzzz__) a Kirin (@Pwnrin) z tímu Security Xuanwu Lab spoločnosti Tencent
Model I/O
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30929: Rui Yang a Xingwei Lin z tímu Ant Security Light-Year Lab
Model I/O
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30979: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
Model I/O
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30940: Rui Yang a Xingwei Lin z tímu Ant Security Light-Year Lab
CVE-2021-30941: Rui Yang a Xingwei Lin z tímu Ant Security Light-Year Lab
Model I/O
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30973: Ye Zhang (@co0py_Cat) z tímu Baidu Security
Model I/O
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30971: Ye Zhang (@co0py_Cat) z tímu Baidu Security
Preferences
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2021-30995: Mickey Jin (@patch1t) zo spoločnosti Trend Micro, Mickey Jin (@patch1t)
Sandbox
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť určité nastavenia ochrany osobných údajov
Popis: Dochádzalo k problému s overovaním súvisiacemu so správaním pevných odkazov, ktorý bol vyriešený vylepšením obmedzení sandboxu.
CVE-2021-30968: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security
Sandbox
Dostupné pre: macOS Big Sur
Dopad: Aplikácia môže byť schopná získať prístup k súborom používateľa
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.
CVE-2021-30947: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security
Sandbox
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť určité nastavenia ochrany osobných údajov
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30946: @gorelics a Ron Masas z tímu BreakPoint.sh
Script Editor
Dostupné pre: macOS Big Sur
Dopad: Pridanie skriptu OSAX so škodlivým kódom môže spôsobiť obídenie kontrol modulu Gatekeeper a obmedzení sandboxu
Popis: Tento problém bol vyriešený vypnutím spúšťania JavaScriptu pri zobrazení skriptovacieho slovníka.
CVE-2021-30975: Ryan Pickren (ryanpickren.com)
SMB
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-31002: Peter Nguyễn Vũ Hoàng z tímu STAR Labs
TCC
Dostupné pre: macOS Big Sur
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30767: @gorelics
TCC
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30970: Jonathan Bar Or zo spoločnosti Microsoft
TCC
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná spôsobiť odmietnutie služby klientom koncového zabezpečenia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30965: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security
Wi-Fi
Dostupné pre: macOS Big Sur
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30938: Xinru Chi z tímu Pangu Lab
Ďalšie poďakovanie
Admin Framework
Poďakovanie za pomoc si zaslúži Simon Andersen z Aarhuskej univerzity a Pico Mitchell.
Bluetooth
Poďakovanie za pomoc si zaslúži Haram Park (Korea University).
ColorSync
Poďakovanie za pomoc si zaslúži Mateusz Jurczyk z tímu Google Project Zero.
Contacts
Poďakovanie za pomoc si zaslúži Minchan Park (03stin).
Kernel
Poďakovanie za pomoc si zaslúži Amit Klein z tímu Center for Research in Applied Cryptography and Cyber Security na Bar-Ilanovej univerzite.
Model I/O
Poďakovanie za pomoc si zaslúžia Rui Yang a Xingwei Lin z tímu Ant Security Light-Year Lab.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.