เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.5

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.5

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Big Sur 11.5

เผยแพร่เมื่อวันที่ 21 กรกฎาคม 2021

AMD Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30805: ABC Research s.r.o

Analytics

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าถึงข้อมูลการวิเคราะห์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

เพิ่มรายการเมื่อวันที่ 25 ตุลาคม 2021 อัปเดตเมื่อวันที่ 25 พฤษภาคม 2022

AppKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วโดยการลบรหัสที่มีความเสี่ยง

CVE-2021-30790: hjy79425575 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

App Store

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตั้งค่าความเป็นส่วนตัวบางรายการได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-31006: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 25 พฤษภาคม 2022

Audio

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30781: tr3e

AVEVideoEncoder

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30748: George Nosenko

CoreAudio

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ

CVE-2021-30775: JunDong Xie จาก Ant Security Light-Year Lab

CoreAudio

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดหมาย

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30776: JunDong Xie จาก Ant Security Light-Year Lab

CoreGraphics

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30786: ryuzaki

CoreServices

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

CVE-2021-30772: Zhongcheng Li (CK01)

CoreServices

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2021-30783: Ron Waisberg (@epsilan)

CoreStorage

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหาการป้อนได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30777: Tim Michaud(@TimGMichaud) จาก Zoom Video Communications และ Gary Nield จาก ECSC Group plc

CoreText

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30789: Mickey Jin (@patch1t) จาก Trend Micro, Sunglin จากทีม Knownsec 404

Crash Reporter

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท

CVE-2021-30774: Yizhuo Wang จาก Group of Software Security In Progress (G.O.S.S.I.P) จาก Shanghai Jiao Tong University

CVMS

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-30780: Tim Michaud(@TimGMichaud) จาก Zoom Video Communications

dyld

มีให้สำหรับ: macOS Big Sur

CVE-2021-30768: Linus Henze (pinauten.de)

Family Sharing

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถเข้าถึงข้อมูลเกี่ยวกับบัญชีที่ผู้ใช้ใช้การแชร์กันในครอบครัวด้วยได้

CVE-2021-30817: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 25 ตุลาคม 2021

Find My

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถเข้าถึงค้นหาของฉันได้

CVE-2021-30804: Csaba Fitzl (@theevilbit) จาก Offensive Security, Wojciech Reguła (@_r3ggi) จาก SecuRing

เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2022 อัปเดตรายการเมื่อวันที่ 2 พฤษภาคม 2023

FontParser

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30760: Sunglin จาก Knownsec 404 team

FontParser

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์ tiff ที่จัดทำขึ้นด้วยประสงค์ร้ายอาจนำไปสู่ปัญหาการปฏิเสธการให้บริการหรืออาจเปิดเผยเนื้อหาหน่วยความจำ

CVE-2021-30788: tr3e ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

FontParser

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: อาการสแต็คล้นได้รับการแก้ไขผ่านการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30759: hjy79425575 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Identity Services

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถเข้าถึงรายชื่อผู้ติดต่อล่าสุดของผู้ใช้ได้

CVE-2021-30803: Matt Shockley (twitter.com/mattshockl), Csaba Fitzl (@theevilbit) จาก Offensive Security

อัปเดตรายการเมื่อวันที่ 18 พฤศจิกายน 2021

ImageIO

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

CVE-2021-30779: Jzhu, Ye Zhang(@co0py_Cat) จาก Baidu Security

ImageIO

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-30785: CFF จาก Topsec Alpha Team, Mickey Jin (@patch1t) จาก Trend Micro

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจทำให้เกิดการยุติระบบหรือการเขียนหน่วยความจำเคอร์เนลโดยไม่คาดหมาย

CVE-2021-30787: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30766: Liu Long จาก Ant Security Light-Year Lab

CVE-2021-30765: Yinyi Wu (@3ndy1) จาก Qihoo 360 Vulcan Team, Liu Long จาก Ant Security Light-Year Lab

อัปเดตรายการเมื่อวันที่ 18 พฤศจิกายน 2021

IOKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถสั่งให้โค้ดทำงานบนชิป Apple T2 Security

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2021-30784: George Nosenko

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30793: Zuozhi Fan (@pattern_F_) จาก Ant Security TianQiong Lab

Kext Management

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2021-30778: Csaba Fitzl (@theevilbit) จาก Offensive Security

LaunchServices

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

CVE-2021-30677: Ron Waisberg (@epsilan)

เพิ่มรายการเมื่อวันที่ 25 ตุลาคม 2021

libxml2

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

CVE-2021-3518

Model I/O

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

CVE-2021-30796: Mickey Jin (@patch1t) จาก Trend Micro

Model I/O

มีให้สำหรับ: macOS Big Sur

CVE-2021-30792: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Model I/O

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจเปิดเผยข้อมูลผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-30791: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Networking

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การเข้าดูหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ

CVE-2021-1821: GeorgiValkov (httpstorm.com)

เพิ่มรายการเมื่อวันที่ 25 ตุลาคม 2021

Sandbox

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

CVE-2021-30782: Csaba Fitzl (@theevilbit) จาก Offensive Security

Security

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2021-31004: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 25 พฤษภาคม 2022

TCC

มีให้สำหรับ: macOS Big Sur

CVE-2021-30798: Mickey Jin (@patch1t) จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัปเดตรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30758: Christoph Guttandin จาก Media Codings

WebKit

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30795: Sergei Glazunov จาก Google Project Zero

WebKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

CVE-2021-30797: Ivan Fratric จาก Google Project Zero

WebKit

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30799: Sergei Glazunov จาก Google Project Zero

คำขอบคุณพิเศษ

configd

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security

CoreText

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t) จาก Trend Micro

crontabs

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security

Power Management

เราขอขอบคุณ Pan ZhenPeng(@Peterpan0927) จาก Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), Lisandro Ubiedo (@_lubiedo) จาก Stratosphere Lab

เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2022

Sandbox

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security

Spotlight

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security

sysdiagnose

เราขอขอบคุณสำหรับความช่วยเหลือของ Carter Jones (linkedin.com/in/carterjones/) และ Tim Michaud (@TimGMichaud) จาก Zoom Video Communications

เพิ่มรายการเมื่อวันที่ 25 พฤษภาคม 2022

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 2 พฤศจิกายน 2566