Obsah zabezpečenia v systéme macOS Monterey 12.0.1

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.0.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Monterey 12.0.1

Dátum vydania: 25. októbra 2021

AppKit

Dostupné pre: Mac Pro (2013 a novší), MacBook Air (začiatok roka 2015 a novší), MacBook Pro (začiatok roka 2015 a novší), Mac mini (koniec roka 2014 a novší), iMac (koniec roka 2015 a novší), MacBook (začiatok roka 2016 a novší) a iMac Pro (2017 a novší)

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30873: Thijs Alkemade (Computest)

AppleScript

Dosah: Spracovanie binárneho súboru AppleScript so škodlivým kódom spôsobiť neočakávané ukončenie aplikácie alebo odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

App Store

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k Apple ID lokálnych používateľov

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2021-30994: Sergii Kryvoblotskyi (MacPaw Inc.)

Dátum pridania záznamu: 25. mája 2022

Audio

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-30907: Zweig (Kunlun Lab)

Bluetooth

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2021-30899: Weiteng Chen, Zheng Zhang a Zhiyun Qian (UC Riverside) a Yu Wang (Didi Research America)

Bluetooth

Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2021-30931: Weiteng Chen, Zheng Zhang a Zhiyun Qian z univerzity UC Riverside a Yu Wang zo spoločnosti Didi Research America

Dátum pridania záznamu: 18. novembra 2021

bootp

Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti

Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.

CVE-2021-30866: Fabien Duchêne (UCLouvain, Belgicko)

Dátum pridania záznamu: 18. novembra 2021

ColorSync

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní profilov ICC dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2021-30917: Alexandru-Vlad Niculae a Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Dopad: Lokálny útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s nekontrolovaným formátovacím reťazcom, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-30903: Anonymný výskumník

Dátum aktualizácie záznamu: 25. mája 2022

CoreAudio

Dosah: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)

CoreGraphics

Dosah: Spracovanie PDF súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-30919

Directory Utility

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k Apple ID lokálnych používateľov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9846: Wojciech Reguła (@_r3ggi)

Dátum pridania záznamu: 31. marca 2022

FileProvider

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30881: Simon Huang (@HuangShaomang) a pjf (IceSword Lab, Qihoo 360)

File System

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927) (Alibaba Security)

Dátum pridania záznamu: 18. novembra 2021

FontParser

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-30831: Xingwei Lin (Ant Security Light-Year Lab)

Dátum pridania záznamu: 18. novembra 2021

FontParser

Dopad: Spracovanie súboru .dfont so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-30840: Xingwei Lin (Ant Security Light-Year Lab)

Dátum pridania záznamu: 18. novembra 2021

Foundation

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30852: Yinyi Wu (@3ndy1) (Ant Security Light-Year Lab)

Dátum pridania záznamu: 18. novembra 2021

Game Center

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k informáciám o kontaktoch používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-30895: Denis Tokarev

Game Center

Dosah: Aplikácia so škodlivým kódom môže byť schopná čítať herné dáta používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-30896: Denis Tokarev

Graphics Drivers

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2021-30933: Jack Dates (RET2 Systems, Inc.)

Dátum pridania záznamu: 31. marca 2022

iCloud

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-30906: Cees Elzinga

iCloud Photo Library

Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k metadátam fotiek bez toho, aby potrebovala povolenie na prístup k fotkám

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2021-30867: Csaba Fitzl (@theevilbit) (Offensive Security)

Dátum pridania záznamu: 18. novembra 2021

ImageIO

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-30814: hjy79425575

Dátum pridania záznamu: 18. novembra 2021

Intel Graphics Driver

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k viacerým problémom so zápisom dát mimo buffera, ktoré boli vyriešené vylepšením kontroly rozsahu.

CVE-2021-30922: Jack Dates (RET2 Systems, Inc.), Yinyi Wu (@3ndy1)

Dátum pridania záznamu: 31. marca 2022

Intel Graphics Driver

Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30824: Antonio Zekic (@antoniozekic) (Diverto)

Intel Graphics Driver

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k viacerým problémom so zápisom dát mimo buffera, ktoré boli vyriešené vylepšením kontroly rozsahu.

CVE-2021-30901: Zuozhi Fan (@pattern_F_) (Ant Security TianQiong Lab), Yinyi Wu (@3ndy1) (Ant Security Light-Year Lab), Jack Dates (RET2 Systems, Inc.)

IOGraphics

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30821: Tim Michaud (@TimGMichaud) (Zoom Video Communications)

IOMobileFrameBuffer

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30883: Anonymný výskumník

Kernel

Dopad: Vzdialený útočník môže spôsobiť neočakávané reštartovanie zariadenia

Popis: Dochádzalo k problému s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) (Effective) a Alexey Katkov (@watman27)

Dátum pridania záznamu: 18. novembra 2021

Kernel

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2021-30886: @0xalsr

Kernel

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30909: Zweig (Kunlun Lab)

Kernel

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30916: Zweig z tímu Kunlun Lab

LaunchServices

Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30864: Ron Hass (@ronhass7) (Perception Point)

Login Window

Dopad: Osoba s prístupom k hostiteľskému Macu môže byť schopná obísť prihlasovacie okno pri pripojení k vzdialenej ploche zamknutej inštancie systému macOS

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2021-30813: Benjamin Berger (BBetterTech LLC), Peter Goedtkindt (Informatique-MTF S.A.), anonymný výskumník

Dátum aktualizácie záznamu: 25. mája 2022

Managed Configuration

Dopad: Používateľ s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých informácií o používateľovi

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-31011: Michal Moravec zo spoločnosti Logicworks, s.r.o.

Dátum pridania záznamu: 16. septembra 2022

Messages

Dosah: Správy používateľa sa môžu ďalej synchronizovať aj po odhlásení zo služby iMessage

Popis: Dochádzalo k problému so synchronizáciou, ktorý bol vyriešený vylepšením overovania stavu.

CVE-2021-30904: Reed Meseck (IBM)

Dátum pridania záznamu: 18. novembra 2021

Model I/O

Dosah: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-30910: Mickey Jin (@patch1t) (Trend Micro)

Model I/O

Dosah: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-30911: Rui Yang a Xingwei Lin (Ant Security Light-Year Lab)

NetworkExtension

Dosah: Aplikácia môže nainštalovať konfiguráciu VPN bez povolenia používateľa

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30874: Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)

Dátum pridania záznamu: 18. novembra 2021

Sandbox

Dosah: Aplikácia so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-30808: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security

Dátum pridania záznamu: 18. novembra 2021

Sandbox

Dosah: Lokálny útočník môže byť schopný čítať citlivé informácie

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.

CVE-2021-30920: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security

Security

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2021-31004: Csaba Fitzl (@theevilbit) (Offensive Security)

Dátum pridania záznamu: 31. marca 2022

SMB

Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng z tímu STAR Labs

Dátum pridania záznamu: 16. septembra 2022

SMB

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2021-30868: Peter Nguyen Vu Hoang (STAR Labs)

SoftwareUpdate

Dosah: Aplikácia so škodlivým kódom môže získať prístup k položkám kľúčenky používateľa

Popis: Tento problém bol vyriešený vylepšením logiky povolení.

CVE-2021-30912: Kirin (@Pwnrin) a chenyuwang (@mzzzz__) (Tencent Security Xuanwu Lab)

SoftwareUpdate

Dosah: Aplikácia bez potrebných oprávnení môže byť schopná upraviť premenné v pamäti NVRAM

Popis : Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-30913: Kirin (@Pwnrin) a chenyuwang (@mzzzz__) (Tencent Security Xuanwu Lab)

Dátum aktualizácie záznamu: 25. mája 2022

UIKit

Dosah: Osoba s fyzickým prístupom k zariadeniu môže byť schopná určiť vlastnosti hesla používateľa v poli na zadávanie zabezpečeného textu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Dosah: Vypnutie nastavenia „Blokovať všetok vzdialený obsah“ sa nemusí prejaviť na všetkých typoch obsahu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-31005: Jonathan Austin (Wells Fargo), Attila Soki

Dátum pridania záznamu: 31. marca 2022

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-31008

Dátum pridania záznamu: 31. marca 2022

WebKit

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: V špecifikácii rozhrania API na časovanie prostriedkov dochádzalo k problému. Špecifikácia bola aktualizovaná a jej aktualizovaná verzia bola implementovaná.

CVE-2021-30897: Anonymný výskumník

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu histórie prehliadania používateľa

Popis: Tento problém bol vyriešený pridaním ďalších obmedzení kompozícií CSS.

CVE-2021-30884: Anonymný výskumník

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2021-30818: Amar Menezes (@amarekano) (Zon8Research)

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-30836: Peter Nguyen Vu Hoang (STAR Labs)

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30846: Sergei Glazunov (Google Project Zero)

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2021-30849: Sergei Glazunov (Google Project Zero)

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30848: Sergei Glazunov (Google Project Zero)

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2021-30851: Samuel Groß z tímu Google Project Zero

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2021-30809: Anonymný výskumník

Dátum pridania záznamu: 18. novembra 2021

WebKit

Dosah: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-30823: David Gullasch (Recurity Labs)

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k tomu, že sa neočakávane prestanú vynucovať zásady CSP (Content Security Policy)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) (Suma Soft Pvt.) Ltd.

WebKit

Dosah: Webová stránka so škodlivým kódom, ktorá používa správy Content Security Policy, môže byť schopná spôsobiť únik informácií prostredníctvom presmerovania

Popis: Bol vyriešený problém s únikom informácií.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd a Tsinghua WingTecher Lab)

WebKit

Dosah: Škodlivá aplikácia môže obísť kontroly modulu Gatekeeper

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30861: Wojciech Reguła (@_r3ggi), Ryan Pickren (ryanpickren.com)

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30890: Anonymný výskumník

WebRTC

Dosah: Útočník môže byť schopný sledovať používateľov prostredníctvom ich IP adresy

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30930: Oguz Kırat, Matthias Keller (m-keller.com)

Dátum pridania záznamu: 18. novembra 2021, dátum aktualizácie: 16. septembra 2022

Windows Server

Dosah: Lokálny útočník môže byť schopný zobraziť plochu predtým prihláseného používateľa prostredníctvom obrazovky rýchleho prepínania používateľov

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30908: ASentientBot

xar

Dosah: Rozbalenie archívu so škodlivým kódom môže umožniť útočníkovi zapisovať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-30833: Richard Warren (NCC Group)

zsh

Dosah: Aplikácia so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému so zdedenými povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2021-30892: Jonathan Bar Or (Microsoft)

Ďalšie poďakovanie

APFS

Poďakovanie za pomoc si zaslúži Koh M. Nakagawa zo spoločnosti FFRI Security, Inc.

AppleScript

Poďakovanie za pomoc si zaslúži Jeremy Brown.

Dátum pridania záznamu: 31. marca 2022

App Support

Poďakovanie za pomoc si zaslúžia anonymný výskumník, 漂亮鼠 (赛博回忆录).

Bluetooth

Poďakovanie za pomoc si zaslúži say2 (ENKI).

bootp

Poďakovanie za pomoc si zaslúži Alexander Burke (alexburke.ca).

Dátum pridania záznamu: 31. marca 2022

CUPS

Poďakovanie za pomoc si zaslúži Nathan Nye (WhiteBeam Security).

Dátum aktualizácie záznamu: 31. marca 2022

iCloud

Poďakovanie za pomoc si zaslúži Ryan Pickren (ryanpickren.com).

Kernel

Poďakovanie za pomoc si zaslúžia Anthony Steinhauser (projekt Google Safeside) a Joshua Baums (Informatik Baums).

Dátum aktualizácie záznamu: 18. novembra 2021

Mail

Poďakovanie za pomoc si zaslúžia Fabian Ising a Damian Poddebniak (Münsterská univerzita aplikovaných vied).

Managed Configuration

Poďakovanie za pomoc si zaslúži Michal Moravec (Logicworks, s.r.o.)

Setup Assistant

Poďakovanie za pomoc si zaslúži David Schütz (@xdavidhu).

Dátum pridania záznamu: 18. novembra 2021

smbx

Poďakovanie za pomoc si zaslúži Zhongcheng Li (CK01).

UIKit

Poďakovanie za pomoc si zaslúži Jason Rendel (Diligent).

Dátum pridania záznamu: 18. novembra 2021

WebKit

Poďakovanie za pomoc si zaslúžia Ivan Fratric (Google Project Zero), Pavel Gromadchuk, Nikhil Mittal (@c0d3G33k) a Matthias Keller (m-keller.com).

Dátum aktualizácie záznamu: 25. mája 2022

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 3. novembra 2023