เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Big Sur 11.2, รายการอัพเดทความปลอดภัย 2021-001 Catalina, รายการอัพเดทความปลอดภัย 2021-001 Mojave
เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ macOS Big Sur 11.2, รายการอัพเดทความปลอดภัย 2021-001 Catalina, รายการอัพเดทความปลอดภัย 2021-001 Mojave
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Big Sur 11.2, รายการอัพเดทความปลอดภัย 2021-001 Catalina, รายการอัพเดทความปลอดภัย 2021-001 Mojave
Analytics
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1761: Cees Elzinga
APFS
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านไฟล์ได้โดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2021-1797: Thomas Tempelmann
CFNetwork Cache
มีให้สำหรับ: macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27945: Zhuo Liang จาก Qihoo 360 Vulcan Team
CoreAnimation
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายสามารถใช้รหัสได้ตามอำเภอใจ ซึ่งทำให้เป็นภัยต่อข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1760: @S0rryMybad จาก 360 Vulcan Team
CoreAudio
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1747: JunDong Xie จาก Ant Security Light-Year Lab
CoreGraphics
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1776: Ivan Fratric จาก Google Project Zero
CoreMedia
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1759: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT
CoreText
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: อาการสแต็คล้นได้รับการแก้ไขผ่านการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1772: Mickey Jin (@patch1t) จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreText
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1792: Mickey Jin และ Junzhi Lu จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Crash Reporter
มีให้สำหรับ: macOS Catalina 10.15.7
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1761: Cees Elzinga
Crash Reporter
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2021-1787: James Hutchins
Crash Reporter
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถสร้างหรือแก้ไขไฟล์ระบบได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1786: Csaba Fitzl (@theevilbit) จาก Offensive Security
Directory Utility
มีให้สำหรับ: macOS Catalina 10.15.7
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27937: Wojciech Reguła (@_r3ggi) จาก SecuRing
Endpoint Security
มีให้สำหรับ: macOS Catalina 10.15.7
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1802: Zhongcheng Li (@CK01) จาก WPS Security Response Center
FairPlay
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun และ Mickey Jin จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
FontParser
มีให้สำหรับ: macOS Catalina 10.15.7
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1790: Peter Nguyen Vu Hoang จาก STAR Labs
FontParser
มีให้สำหรับ: macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2021-1775: Mickey Jin และ Qi Sun จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
FontParser
มีให้สำหรับ: macOS Mojave 10.14.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-29608: Xingwei Lin จาก Ant Security Light-Year Lab
FontParser
มีให้สำหรับ: macOS Big Sur 11.0.1 และ macOS Catalina 10.15.7
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1758: Peter Nguyen จาก STAR Labs
ImageIO
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-1783: Xingwei Lin จาก Ant Security Light-Year Lab
ImageIO
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1741: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin และ Junzhi Lu จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Xingwei Lin จาก Ant Security Light-Year Lab
ImageIO
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1773: Xingwei Lin จาก Ant Security Light-Year Lab
ImageIO
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตใน curl ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1778: Xingwei Lin จาก Ant Security Light-Year Lab
ImageIO
มีให้สำหรับ: , macOS Catalina 10.15.7, macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1736: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1785: Xingwei Lin จาก Ant Security Light-Year Lab
ImageIO
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1766: Danny Rosseau จาก Carve Systems
ImageIO
มีให้สำหรับ: , macOS Catalina 10.15.7, macOS Big Sur 11.0.1
ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1818: Xingwei Lin จาก Ant-Financial Light-Year Security Lab
ImageIO
มีให้สำหรับ: , macOS Catalina 10.15.7, macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1742: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin(@singi21a) จาก THEORI, Mickey Jin และ Qi Sun จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin จาก Ant Security Light-Year Lab
ImageIO
มีให้สำหรับ: macOS Big Sur 11.0.1 และ macOS Catalina 10.15.7
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1737: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1738: Lei Sun
CVE-2021-1744: Xingwei Lin จาก Ant Security Light-Year Lab
IOKit
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ข้อผิดพลาดตรรกะในการโหลด Kext ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1779: Csaba Fitzl (@theevilbit) จาก Offensive Security
IOSkywalkFamily
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) จาก Alibaba Security, Proteas
Kernel
มีให้สำหรับ: macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาตรรกะที่ส่งผลให้หน่วยความจำเสียหาย ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27904: Zuozhi Fan (@pattern_F_) จาก Ant Group Tianqiong Security Lab
Kernel
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-1764: @m00nbsd
Kernel
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถยกระดับสิทธิ์ได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2021-1782: นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2021-1750: @0xalsr
Login Window
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถบายพาสนโยบายการตรวจสอบสิทธิ์ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-29633: Jewel Lambert จาก Original Spin, LLC.
Messages
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้
คำอธิบาย: มีปัญหาเกี่ยวกับความเป็นส่วนตัวในการจัดการบัตรรายชื่อ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1781: Csaba Fitzl (@theevilbit) จาก Offensive Security
Messages
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: ผู้ใช้ที่ถูกลบออกจากกลุ่ม iMessage สามารถกลับเข้าร่วมกลุ่มได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)
Model I/O
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1762: Mickey Jin จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Model I/O
มีให้สำหรับ: macOS Catalina 10.15.7
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) จาก Topsec Alpha Lab
Model I/O
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1763: Mickey Jin จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Model I/O
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1767: Mickey Jin และ Junzhi Lu จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Model I/O
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1745: Mickey Jin และ Junzhi Lu จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Model I/O
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1753: Mickey Jin จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Model I/O
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1768: Mickey Jin และ Junzhi Lu จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
NetFSFramework
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: การต่อเชื่อมการแชร์เครือข่าย Samba ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1751: Mikko Kenttälä (@Turmio_) จาก SensorFu
OpenLDAP
มีให้สำหรับ: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 และ macOS Mojave 10.14.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-25709
Power Management
มีให้สำหรับ: macOS Mojave 10.14.6, macOS Catalina 10.15.7
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27938: Tim Michaud (@TimGMichaud) จาก Leviathan
Screen Sharing
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: มีปัญหาจำนวนมากใน Pcre
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัพเดทเป็น เวอร์ชั่น 8.44
CVE-2019-20838
CVE-2020-14155
SQLite
มีให้สำหรับ: macOS Catalina 10.15.7
ผลกระทบ: มีปัญหาจำนวนมากใน SQLite
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-15358
Swift
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายที่มีความสามารถในการอ่านและการเขียนข้อมูลโดยอำเภอใจอาจสามารถบายพาสการตรวจสอบตัวชี้ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1769: CodeColorist จาก Ant-Financial Light-Year Labs
WebKit
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: คอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจละเมิดนโยบาย Sandboxing ของ iframe
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุม Sandbox ของ iframe
CVE-2021-1765: Eliya Stein จาก Confiant
CVE-2021-1801: Eliya Stein จาก Confiant
WebKit
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1789: @S0rryMybad จาก 360 Vulcan Team
WebKit
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2021-1871: นักวิจัยนิรนาม
CVE-2021-1870: นักวิจัยนิรนาม
WebRTC
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: เว็บไซต์ประสงค์ร้ายอาจสามารถเข้าถึงพอร์ตที่จำกัดไว้ในเซิร์ฟเวอร์โดยอำเภอใจ
คำอธิบาย: ปัญหาการเปลี่ยนเส้นทางของพอร์ตได้รับการแก้ไขแล้วโดยการตรวจสอบพอร์ตเพิ่มเติม
CVE-2021-1799: Gregory Vishnepolsky และ Ben Seri จาก Armis Security และ Samy Kamkar
XNU
มีให้สำหรับ: macOS Big Sur 11.0.1
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-30869: Apple
คำขอบคุณพิเศษ
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Junzhi Lu (@pwn0rz), Mickey Jin และ Jesse Change จาก Trend Micro
libpthread
เราขอขอบคุณสำหรับความช่วยเหลือจาก CodeColorist จาก Ant-Financial Light-Year Labs
Login Window
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jose Moises Romero-Villanueva จาก CrySolve
Mail Drafts
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jon Bottarini จาก HackerOne
Screen Sharing Server
เราขอขอบคุณสำหรับความช่วยเหลือจาก @gorelics
WebRTC
เราขอขอบคุณสำหรับความช่วยเหลือจาก Philipp Hancke
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม