Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Monterey 12.0.1

Το παρόν έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Monterey 12.0.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Monterey 12.0.1

Κυκλοφόρησε στις 25 Οκτωβρίου 2021

AppKit

Διαθέσιμο για: Mac Pro (2013 και νεότερα μοντέλα), MacBook Air (αρχές 2015 και νεότερα μοντέλα), MacBook Pro (αρχές 2015 και νεότερα μοντέλα), Mac mini (τέλη 2014 και νεότερα μοντέλα), iMac (τέλη 2015 και νεότερα μοντέλα), MacBook (αρχές 2016 και νεότερα μοντέλα), iMac Pro (2017 και νεότερα μοντέλα)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30873: Thijs Alkemade της Computest

AppleScript

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου δυαδικού αρχείου AppleScript μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

App Store

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να έχει δυνατότητα πρόσβασης σε Apple ID τοπικών χρηστών

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2021-30994: Sergii Kryvoblotskyi του MacPaw Inc.

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

Audio

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2021-30907: Zweig του Kunlun Lab

Bluetooth

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2021-30899: Weiteng Chen, Zheng Zhang και Zhiyun Qian του UC Riverside και Yu Wang της Didi Research America

Bluetooth

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-30931: Weiteng Chen, Zheng Zhang και Zhiyun Qian του UC Riverside και Yu Wang της Didi Research America

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

bootp

Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC του WiFi

Περιγραφή: Ένα πρόβλημα απορρήτου χρήστη αντιμετωπίστηκε με αφαίρεση της διεύθυνσης MAC μετάδοσης.

CVE-2021-30866: Fabien Duchêne of UCLouvain (Βέλγιο)

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

ColorSync

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στην επεξεργασία προφίλ ICC. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30917: Alexandru-Vlad Niculae και Mateusz Jurczyk του Google Project Zero

Continuity Camera

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα συμβολοσειράς μη ελεγχόμενης μορφής αντιμετωπίστηκε με βελτιωμένη επικύρωση εισόδου.

CVE-2021-30903: ανώνυμος ερευνητής

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

CoreAudio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30905: Mickey Jin (@patch1t) της Trend Micro

CoreGraphics

Αποτέλεσμα: Η επεξεργασία κακόβουλων αρχείων PDF μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30919

Directory Utility

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να έχει δυνατότητα πρόσβασης σε Apple ID τοπικών χρηστών

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9846: Wojciech Reguła (@_r3ggi)

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2022

FileProvider

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30881: Simon Huang (@HuangShaomang) και pjf του IceSword Lab της Qihoo 360

File System

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927) του Alibaba Security

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

FontParser

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30831: Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

FontParser

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου dfont μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30840: Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

Foundation

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30852: Yinyi Wu (@3ndy1) του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

Game Center

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε πληροφορίες σχετικά με τις επαφές ενός χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30895: Denis Tokarev

Game Center

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαβάσει τα δεδομένα παιχνιδιού ενός χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30896: Denis Tokarev

Graphics Drivers

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2021-30933: Jack Dates της RET2 Systems, Inc.

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2022

iCloud

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30906: Cees Elzinga

iCloud Photo Library

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση στα μεταδεδομένα των φωτογραφιών χωρίς να χρειάζεται άδεια για την πρόσβαση στις φωτογραφίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ταυτότητας.

CVE-2021-30867: Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30814: hjy79425575

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

Intel Graphics Driver

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλά προβλήματα εγγραφής εκτός ορίων αντιμετωπίστηκαν με βελτιωμένο έλεγχο ορίων.

CVE-2021-30922: Jack Dates της RET2 Systems, Inc., Yinyi Wu (@3ndy1)

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2022

Intel Graphics Driver

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30824: Antonio Zekic (@antoniozekic) της Diverto

Intel Graphics Driver

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλά προβλήματα εγγραφής εκτός ορίων αντιμετωπίστηκαν με βελτιωμένο έλεγχο ορίων.

CVE-2021-30901: Zuozhi Fan (@pattern_F_) του Ant Security TianQiong Lab, Yinyi Wu (@3ndy1) του Ant Security Light-Year Lab, Jack Dates της RET2 Systems, Inc.

IOGraphics

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30821: Tim Michaud (@TimGMichaud) της Zoom Video Communications

IOMobileFrameBuffer

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30883: ανώνυμος ερευνητής

Kernel

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει τη μη αναμενόμενη επανεκκίνηση μιας συσκευής

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) της Effective και Alexey Katkov (@watman27)

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30886: @0xalsr

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30909: Zweig του Kunlun Lab

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30916: Zweig του Kunlun Lab

LaunchServices

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30864: Ron Hass (@ronhass7) της Perception Point

Login Window

Αποτέλεσμα: Ένα άτομο με πρόσβαση στο Mac υπηρεσίας μπορεί να είναι σε θέση να παρακάμψει το παράθυρο σύνδεσης στο Remote Desktop για μια κλειδωμένη παρουσία του macOS

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30813: Benjamin Berger της BBetterTech LLC, Peter Goedtkindt της Informatique-MTF S.A., ανώνυμος ερευνητής

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

Managed Configuration

Αποτέλεσμα: Ένας χρήστης σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-31011: Michal Moravec of Logicworks, s.r.o.

Η καταχώριση προστέθηκε στις 16 Σεπτεμβρίου 2022

Messages

Αποτέλεσμα: Τα μηνύματα ενός χρήστη ενδέχεται να συγχρονίζονται μετά την αποσύνδεση του χρήση από το iMessage

Περιγραφή: Ένα πρόβλημα συγχρονισμού αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης κατάστασης.

CVE-2021-30904: Reed Meseck της IBM

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

Model I/O

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30910: Mickey Jin (@patch1t) της Trend Micro

Model I/O

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30911: Rui Yang και Xingwei Lin του Ant Security Light-Year Lab

NetworkExtension

Αποτέλεσμα: Μια διαμόρφωση VPN μπορεί να εγκατασταθεί από εφαρμογή χωρίς την άδεια του χρήστη

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2021-30874: Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

Sandbox

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30808: Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

Sandbox

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να είναι σε θέση να διαβάσει ευαίσθητες πληροφορίες

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2021-30920: Csaba Fitzl (@theevilbit) της Offensive Security

Security

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-31004: Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2022

SMB

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng του STAR Labs

Η καταχώριση προστέθηκε στις 16 Σεπτεμβρίου 2022

SMB

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30868: Peter Nguyen Vu Hoang του STAR Labs

SoftwareUpdate

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να αποκτήσει πρόσβαση στα στοιχεία κλειδοθήκης ενός χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2021-30912: Kirin (@Pwnrin) και chenyuwang (@mzzzz__) του Tencent Security Xuanwu Lab

SoftwareUpdate

Αποτέλεσμα: Μια εφαρμογή χωρίς προνόμια ενδέχεται να μπορεί να επεξεργαστεί μεταβλητές NVRAM

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30913: Kirin (@Pwnrin) και chenyuwang (@mzzzz__) του Tencent Security Xuanwu Lab

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

UIKit

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή ενδέχεται να μπορεί να προσδιορίσει χαρακτηριστικά του συνθηματικού ενός χρήστη από ένα ασφαλές πεδίο καταχώρισης κειμένου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30915: Κώστας Αγγελόπουλος

WebKit

Αποτέλεσμα: Η απενεργοποίηση της επιλογής «Αποκλεισμός απομακρυσμένου περιεχομένου» ενδέχεται να μην εφαρμοστεί σε όλους τους τύπους απομακρυσμένου περιεχομένου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-31005: Jonathan Austin της Wells Fargo, Attila Soki

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2022

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-31008

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2022

WebKit

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα στην προδιαγραφή για το API χρονισμού πόρων. Η προδιαγραφή ενημερώθηκε και εφαρμόστηκε η ενημερωμένη προδιαγραφή.

CVE-2021-30897: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να αποκαλύψει το ιστορικό περιήγησης ενός χρήστη

Περιγραφή: Το πρόβλημα επιλύθηκε με επιπλέον περιορισμούς στη σύνθεση CSS.

CVE-2021-30884: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-30818: Amar Menezes (@amarekano) της Zon8Research

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30836: Peter Nguyen Vu Hoang του STAR Labs

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30846: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30849: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30848: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30851: Samuel Groß του Google Project Zero

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30809: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να παρακάμψει το πρωτόκολλο HSTS

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30823: David Gullasch της Recurity Labs

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να έχει ως αποτέλεσμα την απρόσμενη μη επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) της Suma Soft Pvt. Ltd.

WebKit

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος που χρησιμοποιεί αναφορές Πολιτικής ασφάλειας περιεχομένου ενδέχεται να έχει τη δυνατότητα να διαρρεύσει πληροφορίες μέσω συμπεριφοράς ανακατεύθυνσης

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα διαρροής πληροφοριών.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30889: Chijin Zhou της ShuiMuYuLin Ltd και του Tsinghua wingtecher lab

WebKit

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30861: Wojciech Reguła (@_r3ggi), Ryan Pickren (ryanpickren.com)

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30890: ανώνυμος ερευνητής

WebRTC

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να παρακολουθεί τους χρήστες μέσω της διεύθυνσης IP τους

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30930: Oguz Kırat, Matthias Keller (m-keller.com)

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021 και ενημερώθηκε στις 16 Σεπτεμβρίου 2022

Windows Server

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να δει την επιφάνεια εργασίας του προηγούμενου χρήστη που είχε συνδεθεί, από την οθόνη γρήγορης εναλλαγής χρήστη

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2021-30908: ASentientBot

xar

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να επιτρέψει σε έναν εισβολέα την εγγραφή αυθαίρετων αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30833: Richard Warren του NCC Group

zsh

Περιγραφή: Ένα πρόβλημα κληρονομούμενων δικαιωμάτων αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2021-30892: Jonathan Bar Or της Microsoft

Επιπλέον αναγνώριση

APFS

Θα θέλαμε να ευχαριστήσουμε τον Koh M. Nakagawa της FFRI Security, Inc. για τη βοήθειά του.

AppleScript

Θα θέλαμε να ευχαριστήσουμε τον Jeremy Brown για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2022

App Support

Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή και τον χρήστη 漂亮鼠 του 赛博回忆录 για τη βοήθειά τους.

Bluetooth

Θα θέλαμε να ευχαριστήσουμε τον χρήστη say2 της ENKI για τη βοήθεια του.

bootp

Θα θέλαμε να ευχαριστήσουμε τον Alexander Burke (alexburke.ca) για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2022

CUPS

Θα θέλαμε να ευχαριστήσουμε τον Nathan Nye της WhiteBeam Security για τη βοήθεια του.

Η καταχώριση ενημερώθηκε στις 31 Μαρτίου 2022

iCloud

Θα θέλαμε να ευχαριστήσουμε τον Ryan Pickren (ryanpickren.com) για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Anthony Steinhauser του project Safeside της Google και τον Joshua Baums της Informatik Baums για τη βοήθεια τους.

Η καταχώριση ενημερώθηκε στις 18 Νοεμβρίου 2021

Mail

Θα θέλαμε να ευχαριστήσουμε τους Fabian Ising και Damian Poddebniak του Münster University of Applied Sciences για τη βοήθειά τους.

Managed Configuration

Θα θέλαμε να ευχαριστήσουμε τον Michal Moravec της Logicworks, s.r.o. για τη βοήθειά του.

Setup Assistant

Θα θέλαμε να ευχαριστήσουμε τον David Schütz (@xdavidhu) για τη βοήθεια του.

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

smbx

Θα θέλαμε να ευχαριστήσουμε τον Zhongcheng Li (CK01) για τη βοήθειά του.

UIKit

Θα θέλαμε να ευχαριστήσουμε τον Jason Rendel της Diligent για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2021

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Ivan Fratric του Google Project Zero, Pavel Gromadchuk, Nikhil Mittal (@c0d3G33k), και Matthias Keller (m-keller.com) για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: 03 Νοεμβρίου 2023