Tietoja macOS Monterey 12.0.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Monterey 12.0.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Monterey 12.0.1

Julkaistu 25.10.2021

AppKit

Yhteensopivat laitteet: Mac Pro (2013 ja uudemmat), MacBook Air (alkuvuosi 2015 ja uudemmat), MacBook Pro (alkuvuosi 2015 ja uudemmat), Mac mini (alkuvuosi 2014 ja uudemmat), iMac (loppuvuosi 2015 ja uudemmat), MacBook (alkuvuosi 2016 ja uudemmat), iMac Pro (2017 ja uudemmat)

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-30873: Thijs Alkemade (Computest)

AppleScript

Vaikutus: vilpillisessä tarkoituksessa tuotettu AppleScript-binääri saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

App Store

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään paikallisten käyttäjien Apple ID:itä.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2021-30994: Sergii Kryvoblotskyi (MacPaw Inc.)

Kohta lisätty 25.5.2022

Audio

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-30907: Zweig (Kunlun Lab)

Bluetooth

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2021-30899: Weiteng Chen, Zheng Zhang, ja Zhiyun Qian (UC Riverside) ja Yu Wang (Didi Research America)

Bluetooth

Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2021-30931: Weiteng Chen, Zheng Zhang ja Zhiyun Qian (UC Riverside) ja Yu Wang (Didi Research America)

Kohta lisätty 18.11.2021

bootp

Vaikutus: Laitetta saatettiin pystyä passiivisesti seuraamaan sen Wi-Fi-yhteyden MAC-osoitteen perusteella.

Kuvaus: Käyttäjän tietosuojaongelma on ratkaistu poistamalla lähetetty MAC-osoite.

CVE-2021-30866: Fabien Duchêne (UCLouvain, Belgia)

Kohta lisätty 18.11.2021

ColorSync

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: ICC-profiilien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

CVE-2021-30917: Alexandru-Vlad Niculae ja Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Hallitsematon muotoilumerkkijono-ongelma ratkaistiin parantamalla annettujen tietojen varmistamista.

CVE-2021-30903: nimetön tutkija

Kohta päivitetty 25.5.2022

CoreAudio

Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-30905: Mickey Jin (@patch1t, Trend Micro)

CoreGraphics

Vaikutus: Haitallisen PDF-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-30919

Directory Utility

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään paikallisten käyttäjien Apple ID:itä.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-9846: Wojciech Reguła (@_r3ggi)

Kohta lisätty 31.3.2022

FileProvider

Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla muistin käsittelyä.

CVE-2021-30881: Simon Huang (@HuangShaomang) ja pjf (IceSword Lab, Qihoo 360)

File System

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927, Alibaba Security)

Kohta lisätty 18.11.2021

FontParser

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-30831: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 18.11.2021

FontParser

Vaikutus: Haitallisen dfont-tiedoston käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-30840: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 18.11.2021

Foundation

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30852: Yinyi Wu (@3ndy1, Ant Security Light-Year Lab)

Kohta lisätty 18.11.2021

Game Center

Vaikutus: Haittasovellus saattaa päästä käsiksi käyttäjän yhteystietoihin.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2021-30895: Denis Tokarev

Game Center

Vaikutus: Haittaohjelma saattaa pystyä lukemaan käyttäjän pelitietoja.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2021-30896: Denis Tokarev

Graphics Drivers

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2021-30933: Jack Dates (RET2 Systems, Inc.)

Kohta lisätty 31.3.2022

iCloud

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-30906: Cees Elzinga

iCloud Photo Library

Vaikutus: Haitallinen appi saattaa päästä käsiksi valokuvan metatietoihin ilman, että sillä on oikeus käyttää valokuvia.

Kuvaus: Ongelma on ratkaistu parantamalla tunnistautumista.

CVE-2021-30867: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 18.11.2021

ImageIO

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-30814: hjy79425575

Kohta lisätty 18.11.2021

Intel Graphics Driver

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: useita rajojen ulkopuolisen muistin kirjoitusongelmia ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-30922: Jack Dates (RET2 Systems, Inc.), Yinyi Wu (@3ndy1)

Kohta lisätty 31.3.2022

Intel Graphics Driver

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2021-30824: Antonio Zekic (@antoniozekic, Diverto)

Intel Graphics Driver

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: useita rajojen ulkopuolisen muistin kirjoitusongelmia ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-30901: Zuozhi Fan (@pattern_F_, Ant Security TianQiong Lab), Yinyi Wu (@3ndy1, Ant Security Light-Year Lab), Jack Dates (RET2 Systems, Inc.)

IOGraphics

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30821: Tim Michaud (@TimGMichaud, Zoom Video Communications)

IOMobileFrameBuffer

Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30883: nimetön tutkija

Kernel

Vaikutus: Etähyökkääjä saattoi saada laitteen käynnistymään uudelleen odottamatta.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tilankäsittelyä.

CVE-2021-30924: Elaman Iskakov (@darling_x0r, Effective) ja Alexey Katkov (@watman27)

Kohta lisätty 18.11.2021

Kernel

Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2021-30886: @0xalsr

Kernel

Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30909: Zweig (Kunlun Lab)

Kernel

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30916: Zweig (Kunlun Lab)

LaunchServices

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-30864: Ron Hass (@ronhass7, Perception Point)

Login Window

Vaikutus: Henkilö, jolla on isäntä-Macin käyttöoikeus saattaa pystyä ohittamaan lukitun macOS-kirjautumisikkunan etätyöpöydällä.

Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2021-30813: Benjamin Berger (BBetterTech LLC), Peter Goedtkindt (Informatique-MTF S.A.), nimetön tutkija

Kohta päivitetty 25.5.2022

Managed Configuration

Vaikutus: Etuoikeutetussa verkkoasemassa oleva käyttäjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-31011: Michal Moravec of Logicworks, s.r.o.

Kohta lisätty 16.9.2022

Messages

Vaikutus: Käyttäjän viestit saattavat synkronoitua senkin jälkeen, kun käyttäjä on kirjautunut ulos iMessagesta.

Kuvaus: Synkronointiongelma ratkaistiin parantamalla tilan validointia.

CVE-2021-30904: Reed Meseck (IBM)

Kohta lisätty 18.11.2021

Model I/O

Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-30910: Mickey Jin (@patch1t, Trend Micro)

Model I/O

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-30911: Rui Yang ja Xingwei Lin (Ant Security Light-Year Lab)

NetworkExtension

Vaikutus: Appi voi asentaa VPN-kokoonpanon ilman käyttäjän lupaa.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2021-30874: Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)

Kohta lisätty 18.11.2021

Sandbox

Vaikutus: haittaohjelma saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-30808: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 18.11.2021

Sandbox

Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan arkaluonteisia tietoja.

Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2021-30920: Csaba Fitzl (@theevilbit, Offensive Security)

Security

Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2021-31004: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 31.3.2022

SMB

Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng of STAR Labs

Kohta lisätty 16.9.2022

SMB

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2021-30868: Peter Nguyen Vu Hoang (STAR Labs)

SoftwareUpdate

Vaikutus: Haittaohjelma saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2021-30912: Kirin (@Pwnrin) ja chenyuwang (@mzzzz__, Tencent Security Xuanwu Lab)

SoftwareUpdate

Vaikutus: Valtuuttamaton sovellus saattaa pystyä muokkaamaan NVRAM-muuttujia.

Kuvaus: Logiikkaongelma ratkaistiin parantamalla rajoituksia.

CVE-2021-30913: Kirin (@Pwnrin) ja chenyuwang (@mzzzz__, Tencent Security Xuanwu Lab)

Kohta päivitetty 25.5.2022

UIKit

Vaikutus: Henkilö, jolla on fyysinen pääsy laitteelle, saattaa pystyä päättelemään käyttäjän salasanan luonteen suojatussa tekstikentässä.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Vaikutus: Estä kaikki etäsisältö -toiminnon poistaminen käytöstä ei välttämättä koskenut kaikkia etäsisältötyyppejä.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2021-31005: Jonathan Austin (Wells Fargo), Attila Soki

Kohta lisätty 31.3.2022

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-31008

Kohta lisätty 31.3.2022

WebKit

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Resurssien ajoituksen API:n määrityksessä oli ongelma. Määritys päivitettiin ja päivitetty määritys on otettu käyttöön.

CVE-2021-30897: nimetön tutkija

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Haitallisen sivuston selaaminen saattaa paljastaa käyttäjän selaushistorian.

Kuvaus: Ongelma ratkaistiin asettamalla lisärajoituksia CSS-yhdistämiseen.

CVE-2021-30884: nimetön tutkija

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.

CVE-2021-30818: Amar Menezes (@amarekano, Zon8Research)

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa rajatun muistin paljastumisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-30836: Peter Nguyen Vu Hoang (STAR Labs)

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30846: Sergei Glazunov (Google Project Zero)

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30849: Sergei Glazunov (Google Project Zero)

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30848: Sergei Glazunov (Google Project Zero)

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2021-30851: Samuel Groß (Google Project Zero)

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2021-30809: nimetön tutkija

Kohta lisätty 18.11.2021

WebKit

Vaikutus: Oikeuksin varustetussa verkkosijainnissa toimiva hyökkääjä saattaa kyetä ohittamaan HSTS:n.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2021-30823: David Gullasch (Recurity Labs)

WebKit

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa sisällön suojauskäytännön odottamattomaan käytöstä poistamiseen.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati, Suma Soft Pvt. Ltd.)

WebKit

Vaikutus: Sisällön suojauskäytäntö -raportteja käyttävä haitallinen verkkosivusto saattoi pystyä vuotamaan tietoja uudelleenohjauskäyttäytymisellä.

Kuvaus: Tietovuoto-ongelma ratkaistiin.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd ja Tsinghua wingtecher lab)

WebKit

Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-30861: Wojciech Reguła (@_r3ggi), Ryan Pickren (ryanpickren.com)

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-30890: nimetön tutkija

WebRTC

Vaikutus: Hyökkääjä saattoi pystyä seuraamaan käyttäjiä IP-osoitteen kautta.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-30930: Oguz Kırat, Matthias Keller (m-keller.com)

Kohta lisätty 18.11.2021, päivitetty 16.9.2022

Windows Server

Vaikutus: Paikallinen hyökkääjä saattaa pystyä näkemään edellisen sisään kirjautuneen käyttäjän työpöydän nopean käyttäjän vaihtuvalta näytöltä.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2021-30908: ASentientBot

xar

Vaikutus: Haitta-arkiston purkaminen saattaa sallia hyökkääjälle satunnaistiedostojen kirjoittamisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-30833: Richard Warren (NCC Group)

zsh

Vaikutus: haittaohjelma saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Peritty oikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2021-30892: Jonathan Bar Or (Microsoft)

Kiitokset

APFS

Haluamme kiittää avusta Koh M. Nakagawaa (FFRI Security, Inc.).

AppleScript

Haluamme kiittää Jeremy Brownia hänen avustaan.

Kohta lisätty 31.3.2022

App Support

Haluamme kiittää avusta nimetöntä tutkijaa ja tutkijaa 漂亮鼠 (赛博回忆录).

Bluetooth

Haluamme kiittää avusta tutkijaa say2 (ENKI).

bootp

Haluamme kiittää Alexander Burkea (alexburke.ca) hänen avustaan.

Kohta lisätty 31.3.2022

CUPS

Haluamme kiittää Nathan Nyeta (WhiteBeam Security) hänen avustaan.

Kohta päivitetty 31.3.2022

iCloud

Haluamme kiittää Ryan Pickrenia (ryanpickren.com) hänen avustaan.

Kernel

Haluamme kiittää avusta Anthony Steinhauseria (Googlen Safeside-projekti) ja Joshua Baumsia (Informatik Baums).

Kohta päivitetty 18.11.2021

Mail

Haluamme kiittää avusta Fabian Isingia ja Damian Poddebniakia (Münster University of Applied Sciences).

Managed Configuration

Haluamme kiittää avusta Michal Moravecia (Logicworks, s.r.o.).

Setup Assistant

Haluamme kiittää avusta David Schützia (@xdavidhu).

Kohta lisätty 18.11.2021

smbx

Haluamme kiittää avusta Zhongcheng Lita (CK01).

UIKit

Haluamme kiittää Jason Rendeliä (Diligent) hänen avustaan.

Kohta lisätty 18.11.2021

WebKit

Haluamme kiittää Ivan Fratricia (Google Project Zero), Pavel Gromadchukia, Nikhil Mittalia (@c0d3G33k) ja Matthias Kelleriä (m-keller.com) heidän avustaan.

Kohta päivitetty 25.5.2022

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 3. marraskuuta 2023