Informazioni sui contenuti di sicurezza di macOS Big Sur 11.6.1

In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.6.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Big Sur 11.6.1

Data di rilascio: 25 ottobre 2021

AppleScript

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un codice binario AppleScript dannoso può causare la chiusura improvvisa dell'applicazione o la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

Audio

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2021-30907: Zweig di Kunlun Lab

Bluetooth

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2021-30899: Weiteng Chen, Zheng Zhang e Zhiyun Qian di UC Riverside e Yu Wang di Didi Research America

ColorSync

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30926: Jeremy Brown

Voce aggiunta il 25 maggio 2022

ColorSync

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30917: Alexandru-Vlad Niculae e Mateusz Jurczyk di Google Project Zero

Continuity Camera

Disponibile per: macOS Big Sur

Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di stringa del formato non controllata è stato risolto tramite una migliore convalida degli input.

CVE-2021-30903: Gongyu Ma della Hangzhou Dianzi University

Voce aggiunta il 19 gennaio 2022 e aggiornata il 25 maggio 2022

CoreAudio

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30905: Mickey Jin (@patch1t) di Trend Micro

Voce aggiunta il 19 gennaio 2022

CoreGraphics

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un PDF dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30919

FileProvider

Disponibile per: macOS Big Sur

Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30881: Simon Huang (@HuangShaomang) e pjf di IceSword Lab di Qihoo 360

GPU Drivers

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30900: Yinyi Wu (@3ndy1) di Ant Security Light-Year Lab

Voce aggiunta il 19 gennaio 2022

iCloud

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30906: Cees Elzinga

Intel Graphics Driver

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30824: Antonio Zekic (@antoniozekic) di Diverto

Intel Graphics Driver

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: più problemi di scrittura non nei limiti sono stati risolti tramite un migliore controllo dei limiti.

CVE-2021-30901: Zuozhi Fan (@pattern_F_) di Ant Security TianQiong Lab, Jack Dates di RET2 Systems, Inc., Liu Long di Ant Security Light-Year Lab, Yinyi Wu (@3ndy1) di Ant Security Light-Year Lab

CVE-2021-30922: Jack Dates di RET2 Systems, Inc., Yinyi Wu (@3ndy1)

Voce aggiornata il 19 gennaio 2022 e aggiornata il 25 maggio 2022

IOGraphics

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30821: Tim Michaud (@TimGMichaud) di Zoom Video Communications

IOMobileFrameBuffer

Disponibile per: macOS Big Sur

Impatto: un'applicazione può causare l'esecuzione di codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30883: un ricercatore anonimo

Kernel

Disponibile per: macOS Big Sur

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30909: Zweig di Kunlun Lab

Kernel

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30916: Zweig di Kunlun Lab

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30910: Mickey Jin (@patch1t) di Trend Micro

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30911: Rui Yang e Xingwei Lin di Ant Security Light-Year Lab

SMB

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30844: Peter Nguyen Vu Hoang di STAR Labs

Voce aggiunta il 25 maggio 2022

SMB

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2021-30868: Peter Nguyen Vu Hoang di STAR Labs

SoftwareUpdate

Disponibile per: macOS Big Sur

Impatto: un'applicazione senza privilegi potrebbe riuscire a modificare variabili NVRAM.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2021-30913: Kirin (@Pwnrin) e chenyuwang (@mzzzz__) di Tencent Security Xuanwu Lab

Voce aggiornata il 25 maggio 2022

SoftwareUpdate

Disponibile per: macOS Big Sur

Impatto: un'applicazione pericolosa può ottenere l'accesso agli elementi del portachiavi di un utente.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2021-30912: Kirin (@Pwnrin) e chenyuwang (@mzzzz__) di Tencent Security Xuanwu Lab

UIKit

Disponibile per: macOS Big Sur

Impatto: una persona con accesso fisico a un dispositivo può essere in grado di determinare le caratteristiche della password di un utente in un campo di inserimento testo protetto.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30915: Kostas Angelopoulos

Windows Server

Disponibile per: macOS Big Sur

Impatto: un utente malintenzionato locale può essere in grado di visualizzare il desktop dell'utente che aveva effettuato l'accesso in precedenza dalla schermata Cambio utente rapido.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30908: ASentientBot

xar

Disponibile per: macOS Big Sur

Impatto: l'estrazione di un archivio dannoso può consentire a un utente malintenzionato di scrivere file arbitrari.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30833: Richard Warren di NCC Group

Voce aggiunta il 19 gennaio 2022

zsh

Disponibile per: macOS Big Sur

Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.

Descrizione: un problema di autorizzazioni ereditate è stato risolto attraverso restrizioni aggiuntive.

CVE-2021-30892: Jonathan Bar Or di Microsoft

Altri riconoscimenti

iCloud

Ringraziamo Ryan Pickren (ryanpickren.com) per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: