Mengenai konten keamanan macOS Big Sur 11.6.2

Dokumen ini menjelaskan konten keamanan macOS Big Sur 11.6.2.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Big Sur 11.6.2

Archive Utility

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30950: @gorelics

Bluetooth

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori kernel

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30931: Weiteng Chen, Zheng Zhang, dan Zhiyun Qian dari UC Riverside, dan Yu Wang dari Didi Research America

Bluetooth

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30935: peneliti anonim

ColorSync

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori dalam pemrosesan profil ICC telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30942: Mateusz Jurczyk dari Google Project Zero

CoreAudio

Tersedia untuk: macOS Big Sur

Dampak: Memproses file audio perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30957: JunDong Xie dari Ant Security Light-Year Lab

CoreAudio

Tersedia untuk: macOS Big Sur

Dampak: Menguraikan file audio perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30962: JunDong Xie dari Ant Security Light-Year Lab

CoreAudio

Tersedia untuk: macOS Big Sur

Dampak: Menguraikan file audio perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30959: JunDong Xie dari Ant Security Light-Year Lab

CVE-2021-30961: JunDong Xie dari Ant Security Light-Year Lab

CVE-2021-30963: JunDong Xie dari Ant Security Light-Year Lab

CoreAudio

Tersedia untuk: macOS Big Sur

Dampak: Memutar file audio yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2021-30958: JunDong Xie dari Ant Security Light-Year Lab

Crash Reporter

Tersedia untuk: macOS Big Sur

Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30945: Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

File Provider

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi

Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-31007: Csaba Fitzl (@theevilbit) dari Offensive Security

FontParser

Tersedia untuk: macOS Big Sur

Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-31013: Daniel Lim Wee Soong dari STAR Labs

Game Center

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengakses informasi mengenai kontak pengguna

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Graphics Drivers

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30977: Jack Dates dari RET2 Systems, Inc.

Help Viewer

Tersedia untuk: macOS Big Sur

Dampak: Memproses URL perusak berbahaya dapat menyebabkan eksekusi JavaScript yang tidak terduga dari file pada disk

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2021-30969: Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

ImageIO

Tersedia untuk: macOS Big Sur

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30939: Mickey Jin (@patch1t) dari Trend Micro, Jaewon Min dari Cisco Talos, Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab

Intel Graphics Driver

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30981: Liu Long dari Ant Security Light-Year Lab, Jack Dates dari RET2 Systems, Inc.

IOUSBHostFamily

Tersedia untuk: macOS Big Sur

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau semakin banyaknya kerusakan

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2021-30982: Weiteng Chen, Zheng Zhang, dan Zhiyun Qian dari UC Riverside, dan Yu Wang dari Didi Research America

Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2021-30927: Xinru Chi dari Pangu Lab

CVE-2021-30980: Xinru Chi dari Pangu Lab

Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.

CVE-2021-30937: Sergei Glazunov dari Google Project Zero

Kernel

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30949: Ian Beer dari Google Project Zero

LaunchServices

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30990: Ron Masas dari BreakPoint.sh

LaunchServices

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30976: chenyuwang (@mzzzz__) dan Kirin (@Pwnrin) dari Tencent Security Xuanwu Lab

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30929: Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30979: Mickey Jin (@patch1t) dari Trend Micro

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses file USD perusak berbahaya dapat mengungkap konten memori

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30940: Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab

CVE-2021-30941: Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses file perusak berbahaya dapat mengungkapkan informasi pengguna

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2021-30973: Ye Zhang (@co0py_Cat) dari Baidu Security

Model I/O

Tersedia untuk: macOS Big Sur

Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30971: Ye Zhang (@co0py_Cat) dari Baidu Security

Preferences

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30995: Mickey Jin (@patch1t) dari Trend Micro, Mickey Jin (@patch1t)

Sandbox

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu

Deskripsi: Masalah validasi terkait dengan perilaku tautan keras telah diatasi dengan pembatasan sandbox yang ditingkatkan.

CVE-2021-30968: Csaba Fitzl (@theevilbit) dari Offensive Security

Sandbox

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi mungkin dapat mengakses file pengguna

Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.

CVE-2021-30947: Csaba Fitzl (@theevilbit) dari Offensive Security

Sandbox

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2021-30946: @gorelics, dan Ron Masas dari BreakPoint.sh

Script Editor

Tersedia untuk: macOS Big Sur

Dampak: Penambahan skripting OSAX berbahaya dapat melewati pemeriksaan Gatekeeper dan menggagalkan pembatasan sandbox

Deskripsi: Masalah ini telah diatasi dengan menonaktifkan eksekusi JavaScript saat melihat kamus skripting.

CVE-2021-30975: Ryan Pickren (ryanpickren.com)

SMB

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng dari STAR Labs

TCC

Tersedia untuk: macOS Big Sur

Dampak: Pengguna lokal dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30767: @gorelics

TCC

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30970: Jonathan Bar Or dari Microsoft

TCC

Tersedia untuk: macOS Big Sur

Dampak: Aplikasi berbahaya mungkin dapat mengakibatkan penolakan layanan untuk klien Endpoint Security

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30965: Csaba Fitzl (@theevilbit) dari Offensive Security

Wi-Fi

Tersedia untuk: macOS Big Sur

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30938: Xinru Chi dari Pangu Lab

Penghargaan tambahan

Admin Framework

Kami ingin mengucapkan terima kasih kepada Simon Andersen dari Aarhus University dan Pico Mitchell atas bantuannya.

Bluetooth

Kami ingin mengucapkan terima kasih kepada Haram Park, Korea University atas bantuannya.

ColorSync

Kami ingin mengucapkan terima kasih kepada Mateusz Jurczyk dari Google Project Zero atas bantuannya.

Contacts

Kami ingin mengucapkan terima kasih kepada Minchan Park (03stin) atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Amit Klein dari Bar-Ilan University's Center for Research in Applied Cryptography and Cyber Security atas bantuannya.

Model I/O

Kami ingin mengucapkan terima kasih kepada Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab atas bantuannya.