เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Big Sur 11.4

เปิดตัวเมื่อวันที่ 24 พฤษภาคม 2021

AMD

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30678: Yu Wang จาก Didi Research America

AMD

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

CVE-2021-30676: shrek_wzw

App Store

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30688: Thijs Alkemade จาก Computest Research Divisio

AppleScript

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper

CVE-2021-30669: Yair Hoffman

Audio

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30707: hjy79425575 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Audio

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การแยกวิเคราะห์ไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

CVE-2021-30685: Mickey Jin (@patch1t) จาก Trend Micro

Bluetooth

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

คำอธิบาย: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

CVE-2021-30672: say2 จาก ENKI

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Core Services

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2021-30681: Zhongcheng Li (CK01)

CoreAudio

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-30686: Mickey Jin จาก Trend Micro

CoreText

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

คำอธิบาย: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

CVE-2021-30733: Sunglin จาก Knownsec 404

CVE-2021-30753: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Crash Reporter

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2021-30727: Cees Elzinga

CVMS

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

CVE-2021-30724: Mickey Jin (@patch1t) จาก Trend Micro

Dock

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถเข้าถึงประวัติการโทรของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2021-30673: Josh Parnham (@joshparnham)

FontParser

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30771: Mickey Jin (@patch1t) จาก Trend Micro, CFF จาก Topsec Alpha Team

เพิ่มรายการเมื่อวันที่ 19 มกราคม 2022

FontParser

มีให้สำหรับ: macOS Big Sur

CVE-2021-30755: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Graphics Drivers

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอปพลิเคชันโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-2021-30684: Liu Long จาก Ant Security Light-Year Lab

Graphics Drivers

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-30735: Jack Dates จาก RET2 Systems, Inc. (@ret2systems) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Heimdal

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจทำให้มีการปฏิเสธการบริการหรืออาจเปิดเผยเนื้อหาของหน่วยความจำ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

Heimdal

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายสามารถใช้รหัสได้ตามอำเภอใจ ซึ่งทำให้เป็นภัยต่อข้อมูลของผู้ใช้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)

ImageIO

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

CVE-2021-30687: Hou JingYi (@hjy79425575) จาก Qihoo 360

ImageIO

มีให้สำหรับ: macOS Big Sur

CVE-2021-30700: Ye Zhang (@co0py_Cat) จาก Baidu Security

ImageIO

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

CVE-2021-30701: Mickey Jin (@patch1t) จาก Trend Micro และ Ye Zhang จาก Baidu Security

ImageIO

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์ ASTC ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยเนื้อหาหน่วยความจำ

CVE-2021-30705: Ye Zhang จาก Baidu Security

ImageIO

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

คำอธิบาย: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

CVE-2021-30706: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Jzhu ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการลบรหัสที่มีความเสี่ยง

CVE-2021-30719: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

CVE-2021-30728: Liu Long จาก Ant Security Light-Year Lab

CVE-2021-30726: Yinyi Wu(@3ndy1) จาก Qihoo 360 Vulcan Team

IOUSBHostFamily

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: แอปพลิเคชันที่ไม่มีสิทธิพิเศษอาจสามารถจับอุปกรณ์ USB ได้

CVE-2021-30731: UTM (@UTMapp)

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

CVE-2021-30704: นักวิจัยนิรนาม

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

CVE-2021-30715: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2021-30736: Ian Beer จาก Google Project Zero

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30739: Zuozhi Fan (@pattern_F_) จาก Ant Group Tianqiong Security Lab

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ปัญหา Double Free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

คำอธิบาย: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

CVE-2021-30703: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Kext Management

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถโหลดส่วนขยายเคอร์เนลที่ไม่ได้ลงชื่อ

CVE-2021-30680: Csaba Fitzl (@theevilbit) จาก Offensive Security

LaunchServices

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

CVE-2021-30677: Ron Waisberg (@epsilan)

Login Window

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: บุคคลที่สามารถเข้าถึง Mac อาจสามารถข้ามหน้าต่างการเข้าสู่ระบบได้

CVE-2021-30702: Jewel Lambert จาก Original Spin, LLC.

Mail

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถบิดเบือนสถานะแอปพลิเคชันได้

CVE-2021-30696: Fabian Ising และ Damian Poddebniak จาก Münster University of Applied Sciences

MediaRemote

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ปัญหาความเป็นส่วนตัวใน "กำลังเล่นอยู่" ได้รับการแก้ไขแล้วด้วยการปรับปรุงการอนุญาตให้ดียิ่งขึ้น

คำอธิบาย: ผู้โจมตีเฉพาะที่อาจสามารถดูข้อมูลของ "กำลังเล่นอยู่" จากหน้าจอล็อคได้

CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Model I/O

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยเนื้อหาหน่วยความจำ

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30723: Mickey Jin (@patch1t) จาก Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t) จาก Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t) จาก Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t) จาก Trend Micro

Model I/O

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

CVE-2021-30725: Mickey Jin (@patch1t) จาก Trend Micro

Model I/O

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30746: Mickey Jin (@patch1t) จาก Trend Micro

Model I/O

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2021-30693: Mickey Jin (@patch1t) และ Junzhi Lu (@pwn0rz) จาก Trend Micro

Model I/O

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจเปิดเผยคอนเทนต์หน่วยความจำ

CVE-2021-30695: Mickey Jin (@patch1t) และ Junzhi Lu (@pwn0rz) จาก Trend Micro

Model I/O

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยพลการ

CVE-2021-30708: Mickey Jin (@patch1t) และ Junzhi Lu (@pwn0rz) จาก Trend Micro

Model I/O

มีให้สำหรับ: macOS Big Sur

CVE-2021-30709: Mickey Jin (@patch1t) จาก Trend Micro

NSOpenPanel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)

OpenLDAP

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

CVE-2020-36226

CVE-2020-36227

CVE-2020-36223

CVE-2020-36224

CVE-2020-36225

CVE-2020-36221

CVE-2020-36228

CVE-2020-36222

CVE-2020-36230

CVE-2020-36229

PackageKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถเขียนทับไฟล์ได้โดยอำเภอใจ

คำอธิบาย: ตรรกะการตรวจสอบเส้นทางสำหรับ hardlinks ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น

CVE-2021-30738: Qingyang Chen จาก Topsec Alpha Team และ Csaba Fitzl (@theevilbit) จาก Offensive Security

Sandbox

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตั้งค่าความเป็นส่วนตัวบางรายการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2021-30751: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Security

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายในตัวถอดรหัส ASN.1 ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีช่องโหว่

CVE-2021-30737: xerub

smbx

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจสามารถทำให้เกิดการปฏิเสธบริการได้

CVE-2021-30716: Aleksandar Nikolic จาก Cisco Talos

smbx

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสได้โดยอำเภอใจ

CVE-2021-30717: Aleksandar Nikolic จาก Cisco Talos

smbx

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

CVE-2021-30721: Aleksandar Nikolic จาก Cisco Talos

smbx

มีให้สำหรับ: macOS Big Sur

CVE-2021-30722: Aleksandar Nikolic จาก Cisco Talos

smbx

มีให้สำหรับ: macOS Big Sur

CVE-2021-30712: Aleksandar Nikolic จาก Cisco Talos

Software Update

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: บุคคลที่สามารถเข้าถึง Mac อาจสามารถข้ามหน้าต่างการเข้าสู่ระบบได้ในระหว่างการอัปเดตซอฟต์แวร์

CVE-2021-30668: Syrus Kimiagar และ Danilo Paffi Monteiro

SoftwareUpdate

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้ใช้ที่ไม่มีสิทธิ์อาจสามารถแก้ไขการตั้งค่าที่มีการจำกัดได้

CVE-2021-30718: SiQian Wei จาก ByteDance Security

TCC

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจส่งกิจกรรมของ Apple ที่ไม่ได้รับอนุญาตไปยัง Finder ได้

CVE-2021-30671: Ryan Bell (@iRyanBell)

TCC

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30713: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาข้ามจุดเริ่มต้นขององค์ประกอบ iframe ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น

CVE-2021-30744: Dan Hite จาก jsontop

WebKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

CVE-2021-21779: Marcin Towalski จาก Cisco Talos

WebKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2021-30682: Prakash (@1lastBr3ath)

อัปเดตรายการเมื่อวันที่ 21 กรกฎาคม 2021

WebKit

มีให้สำหรับ: macOS Big Sur

CVE-2021-30689: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้งานโค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30749: นักวิจัยนิรนามและ mipu94 จาก SEFCOM lab, ASU ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2021-30734: Jack Dates จาก RET2 Systems, Inc. (@ret2systems) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: เว็บไซต์ประสงค์ร้ายอาจสามารถเข้าถึงพอร์ตที่จำกัดไว้ในเซิร์ฟเวอร์โดยอำเภอใจ

CVE-2021-30720: David Schütz (@xdavidhu)

WebRTC

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-23841: Tavis Ormandy จาก Google

CVE-2021-30698: Tavis Ormandy จาก Google

คำขอบคุณพิเศษ

App Store

เราขอขอบคุณสำหรับความช่วยเหลือจาก Thijs Alkemade จาก Computest Research Division

CoreCapture

เราขอขอบคุณสำหรับความช่วยเหลือจาก Zuozhi Fan (@pattern_F_) จาก Ant-financial TianQiong Security Lab

ImageIO

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jzhu ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และนักวิจัยนิรนาม

Mail Drafts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lauritz Holtmann (@_lauritz_)

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Chris Salls (@salls) จาก Makai Security

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 3 พฤศจิกายน 2566