เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Big Sur 11.3
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Big Sur 11.3
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Big Sur 11.3
APFS
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1853: Gary Nield จาก ECSC Group plc และ Tim Michaud(@TimGMichaud) จาก Zoom Video Communications
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาในการตรวจสอบความถูกต้องลายเซ็นโค้ดได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดีขึ้น
CVE-2021-1849: Siguza
Apple Neural Engine
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1867: Zuozhi Fan (@pattern_F_) และ Wish Wu(吴潍浠) จาก Ant Group Tianqiong Security Lab
Archive Utility
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1810: Rasmus Sten (@pajp) จาก F-Secure
Audio
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1808: JunDong Xie จาก Ant Security Light-Year Lab
CFNetwork
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-1857: นักวิจัยนิรนาม
Compression
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
คำอธิบาย: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
CVE-2021-30752: Ye Zhang (@co0py_Cat) จาก Baidu Security
CoreAudio
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-30664: JunDong Xie จาก Ant Security Light-Year Lab
CoreAudio
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1846: JunDong Xie จาก Ant Security Light-Year Lab
CoreAudio
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1809: JunDong Xie จาก Ant Security Light-Year Lab
CoreFoundation
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2021-30659: Thijs Alkemade จาก Computest
CoreGraphics
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1847: Xuwei Liu จาก Purdue University
CoreText
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1811: Xingwei Lin จาก Ant Security Light-Year Lab
curl
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: เซิร์ฟเวอร์ที่เป็นอันตรายอาจเปิดเผยบริการที่ใช้งานอยู่ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-8284: Marian Rehak
curl
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีอาจให้การตอบสนอง OCSP ที่หลอกลวงซึ่งดูเหมือนเป็นการตอบสนองที่ถูกต้อง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-8286: นักวิจัยนิรนาม
curl
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-8285: xnynx
DiskArbitration
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: มีปัญหาเกี่ยวกับสิทธิ์อนุญาตใน DiskArbitration ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบเพิ่มเติมเกี่ยวกับสถานะความเป็นเจ้าของ
CVE-2021-1784: Mikko Kenttälä (@Turmio_) จาก SensorFu, Csaba Fitzl (@theevilbit) จาก Offensive Security และนักวิจัยนิรนาม
FaceTime
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การปิดเสียงการโทร CallKit ในขณะมีการโทรเข้าอาจไม่ทำให้การปิดเสียงทำงาน
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1872: Siraj Zaneer จาก Facebook
FontParser
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1881: นักวิจัยนิรนาม, Xingwei Lin จาก Ant Security Light-Year Lab, Mickey Jin จาก Trend Micro และ Hou JingYi (@hjy79425575) จาก Qihoo 360
Foundation
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชั่นอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2021-1813: Cees Elzinga
Heimdal
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลข้อความเซิร์ฟเวอร์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1880: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-30653: Ye Zhang จาก Baidu Security
CVE-2021-1814: Ye Zhang จาก Baidu Security, Mickey Jin และ Qi Sun จาก Trend Micro และ Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2021-1843: Ye Zhang จาก Baidu Security
ImageIO
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1885: CFF จาก Topsec Alpha Team
ImageIO
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1858: Mickey Jin จาก Trend Micro
ImageIO
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
คำอธิบาย: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
CVE-2021-30743: Ye Zhang (@co0py_Cat) จาก Baidu Security, CFF จาก Topsec Alpha Team, Jzhu ร่วมกับ Trend Micro Zero Day Initiative, Xingwei Lin of Ant Security Light-Year Lab, Jeonghoon Shin (@singi21a) จาก THEORI ร่วมกับ Trend Micro Zero Day Initiative
Installer
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการเมตาดาต้าของไฟล์
CVE-2021-30658: Wojciech Reguła (@_r3ggi) จาก SecuRing
Intel Graphics Driver
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-1841: Jack Dates จาก RET2 Systems, Inc.
CVE-2021-1834: ABC Research s.r.o. ร่วมกับ Trend Micro Zero Day Initiative
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-1860: @0xalsr
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1840: Zuozhi Fan (@pattern_F_) จาก Ant Group Tianqiong Security Lab
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1851: @0xalsr
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ไฟล์ที่คัดลอกอาจไม่มีสิทธิ์อนุญาตไฟล์ที่ควรมี
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2021-1832: นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-30660: Alex Plaskett
libxpc
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2021-30652: James Hutchins
libxslt
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม
คำอธิบาย: ปัญหา Double Free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-1875: พบโดย OSS-Fuzz
Login Window
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายที่มีสิทธิ์ระดับรากอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2021-1824: Wojciech Reguła (@_r3ggi) จาก SecuRing
Notes
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: เนื้อหาโน้ตที่ล็อคอาจถูกปลดล็อคโดยไม่คาดคิด
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1859: Syed Ali Shuja (@SyedAliShuja) จาก Colour King Pvt. Ltd
NSRemoteView
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-1876: Matthew Denton จาก Google Chrome
Preferences
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น
CVE-2021-1815: Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจติดตามผู้ใช้ได้ด้วยการตั้งค่าสถานะในแคช
คำอธิบาย: มีปัญหาในการระบุการใช้พื้นที่ของแคช ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2021-1861: Konstantinos Solomos จาก University of Illinois at Chicago
Safari
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจบังคับให้มีการเชื่อมต่อเครือข่ายที่ไม่จำเป็นเพื่อดึงไอคอนประจำเว็บไซต์มาได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1855: Håvard Mikkelsen Ottestad จาก HASMAC AS
SampleAnalysis
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1868: Tim Michaud จาก Zoom Communications
Sandbox
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถเข้าถึงฟังก์ชันระบบโทรศัพท์ที่มีการจำกัดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2021-30750: Csaba Fitzl (@theevilbit) จาก Offensive Security
smbx
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1878: Aleksandar Nikolic จาก Cisco Talos (talosintelligence.com)
System Preferences
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper. Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-30657: Cedric Owens (@cedowens)
TCC
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปประสงค์ร้ายที่ไม่อยู่ในสภาวะ Sandbox ในระบบที่มีการเปิดใช้งานการเข้าสู่ระบบระยะไกลอาจบายพาสการตั้งค่าความเป็นส่วนตัว
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มตัวเลือกการเข้าสู่ระบบระยะไกลใหม่สำหรับการเลือกใช้การเข้าถึงดิสก์แบบเต็มสำหรับเซสชั่น Secure Shell
CVE-2021-30856: Csaba Fitzl (@theevilbit) จาก Offensive Security, Andy Grant จาก Zoom Video Communications, Thijs Alkemade จาก Computest Research Division, Wojciech Reguła จาก SecuRing (wojciechregula.blog), Cody Thomas จาก SpecterOps, Mickey Jin จาก Trend Micro
tcpdump
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-8037: an anonymous researcher
Time Machine
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2021-1839: Tim Michaud(@TimGMichaud) จาก Zoom Video Communications และ Gary Nield จาก ECSC Group plc
WebKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-1825: Alex Camboe จาก Aon’s Cyber Solutions
WebKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1817: zhunki
WebKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2021-1826: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-1820: André Bargull
WebKit Storage
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-30661: yangkang(@dnpushme) จาก 360 ATA
WebRTC
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-7463: Megan2013678
Wi-Fi
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจทำให้เกิดการยุติระบบหรือการเขียนหน่วยความจำเคอร์เนลโดยไม่คาดหมาย
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-1828: Zuozhi Fan (@pattern_F_) จาก Ant Group Tianqiong Security Lab
Wi-Fi
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1829: Tielei Wang จาก Pangu Lab
Wi-Fi
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2021-30655: Gary Nield จาก ECSC Group plc และ Tim Michaud(@TimGMichaud) จาก Zoom Video Communications และ Wojciech Reguła (@_r3ggi) จาก SecuRing
Wi-Fi
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นอาจส่งผลให้เกิดการใช้โค้ดโดยพลการ
CVE-2021-1770: Jiska Classen (@naehrdine) จาก Secure Mobile Networking Lab, TU Darmstadt
WindowServer
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลประจำตัวของผู้ใช้รั่วไหลจากช่องข้อความที่ปลอดภัยโดยไม่คาดคิดได้
คำอธิบาย: ปัญหา API ในสิทธิ์อนุญาต TCC ในการช่วยการเข้าถึงได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-1873: นักวิจัยนิรนาม
คำขอบคุณพิเศษ
AirDrop
เราขอขอบคุณสำหรับความช่วยเหลือจาก @maxzks
CoreAudio
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
CoreCrypto
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Russon จาก Orange Group
File Bookmark
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Foundation
เราขอขอบคุณสำหรับความช่วยเหลือจาก CodeColorist จาก Ant-Financial LightYear Labs
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Antonio Frighetto จาก Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) จาก SensorFu และ Proteas
เราขอขอบคุณสำหรับความช่วยเหลือจาก Petter Flink, SecOps of Bonnier News และนักวิจัยนิรนาม
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Sahil Mehra (Nullr3x) และ Shivam Kamboj Dattana (Sechunt3r)
Security
เราขอขอบคุณสำหรับความช่วยเหลือจาก Xingwei Lin จาก Ant Security Light-Year Lab และ john (@nyan_satan)
sysdiagnose
เราขอขอบคุณสำหรับความช่วยเหลือจาก Tim Michaud (@TimGMichaud) จาก Leviathan
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Emilio Cobos Álvarez จาก Mozilla
WebSheet
เราขอขอบคุณสำหรับความช่วยเหลือจาก Patrick Clover
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม