A macOS Big Sur 11.6.1 biztonsági változásjegyzéke
Ez a dokumentum a macOS Big Sur 11.6.1 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.6.1
AppleScript
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30876: Jeremy Brown, hjy79425575
CVE-2021-30879: Jeremy Brown, hjy79425575
CVE-2021-30877: Jeremy Brown
CVE-2021-30880: Jeremy Brown
Audio
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2021-30907: Zweig (Kunlun Lab)
Bluetooth
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2021-30899: Weiteng Chen, Zheng Zhang és Zhiyun Qian (UC Riverside), illetve Yu Wang (Didi Research America)
ColorSync
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottuk az ICC-profilok feldolgozásakor fellépő memóriasérülési hibát.
CVE-2021-30926: Jeremy Brown
ColorSync
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség
Leírás: Memóriasérülési hiba állt fenn az ICC-profilok kezelési módjában. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2021-30917: Alexandru-Vlad Niculae és Mateusz Jurczyk (Google Project Zero)
Continuity Camera
A következőhöz érhető el: macOS Big Sur
Érintett terület: A helyi támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy nem szabályozott formázó karakterlánccal kapcsolatos problémát.
CVE-2021-30903: Gongyu Ma (Hangzhou Dianzi University)
CoreAudio
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30905: Mickey Jin (@patch1t; Trend Micro)
CoreGraphics
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2021-30919
FileProvider
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2021-30881: Simon Huang (@HuangShaomang) és pjf (IceSword Lab; Qihoo 360)
GPU Drivers
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2021-30900: Yinyi Wu (@3ndy1; Ant Security Light-Year Lab)
iCloud
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30906: Cees Elzinga
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30824: Antonio Zekic (@antoniozekic; Diverto)
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk több határértéken kívüli írási hibát.
CVE-2021-30901: Zuozhi Fan (@pattern_F_) of Ant Security TianQiong Lab, Jack Dates of RET2 Systems, Inc., Liu Long of Ant Security Light-Year Lab, Yinyi Wu (@3ndy1) of Ant Security Light-Year Lab
CVE-2021-30922: Jack Dates (RET2 Systems, Inc.), Yinyi Wu (@3ndy1)
IOGraphics
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30821: Tim Michaud (@TimGMichaud; Zoom Video Communications)
IOMobileFrameBuffer
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30883: anonim kutató
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30909: Zweig (Kunlun Lab)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30916: Zweig (Kunlun Lab)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30910: Mickey Jin (@patch1t; Trend Micro)
Model I/O
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30911: Rui Yang és Xingwei Lin (Ant Security Light-Year Lab)
SMB
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30844: Peter Nguyen Vu Hoang, STAR Labs
SMB
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2021-30868: Peter Nguyen Vu Hoang (STAR Labs)
SoftwareUpdate
A következőhöz érhető el: macOS Big Sur
Érintett terület: A jogosulatlan alkalmazások szerkeszthették az NVRAM-változókat
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30913: Kirin (@Pwnrin) és chenyuwang (@mzzzz__; mindketten: Tencent Security Xuanwu Lab)
SoftwareUpdate
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználói kulcskarika elemeihez
Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.
CVE-2021-30912: Kirin (@Pwnrin) és chenyuwang (@mzzzz__; mindketten: Tencent Security Xuanwu Lab)
UIKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az eszközhöz fizikai hozzáféréssel rendelkező személy meg tudta határozni a felhasználó jelszavának jellemzőit egy biztonságos szövegbeviteli mezőben
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30915: Kostas Angelopoulos
Windows Server
A következőhöz érhető el: macOS Big Sur
Érintett terület: Helyi támadók megtekinthették az előzőleg bejelentkezett felhasználó asztalát a gyors felhasználóváltási képernyőről
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2021-30908: ASentientBot
xar
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott archívumok kicsomagolása tetszőleges fájlok írását tehette lehetővé támadók számára
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30833: Richard Warren (NCC Group)
zsh
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit
Leírás: További korlátozásokkal elhárítottunk egy örökölt jogosultságokkal összefüggő problémát.
CVE-2021-30892: Jonathan Bar Or (Microsoft)
További köszönetnyilvánítás
iCloud
Köszönjük Ryan Pickren (ryanpickren.com) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.