Despre conținutul de securitate din macOS Big Sur 11.6.1
Acest document descrie conținutul de securitate din macOS Big Sur 11.6.1.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Big Sur 11.6.1
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30876: Jeremy Brown, hjy79425575
CVE-2021-30879: Jeremy Brown, hjy79425575
CVE-2021-30877: Jeremy Brown
CVE-2021-30880: Jeremy Brown
Audio
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2021-30907: Zweig (Kunlun Lab)
Bluetooth
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost tratată o problemă de cursă prin îmbunătățirea tratării stării.
CVE-2021-30899: Weiteng Chen, Zheng Zhang și Zhiyun Qian de la UC Riverside și Yu Wang de la Didi Research America
ColorSync
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei în procesarea profilurilor ICC a fost rezolvată prin îmbunătățirea validării intrărilor.
CVE-2021-30926: Jeremy Brown
ColorSync
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea profilurilor ICC. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2021-30917: Alexandru-Vlad Niculae și Mateusz Jurczyk (Google Project Zero)
Continuity Camera
Disponibilitate pentru: macOS Big Sur
Impact: un atacator local poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă privind șirul de formatare necontrolat prin îmbunătățirea validării intrării.
CVE-2021-30903: Gongyu Ma de la Hangzhou Dianzi University
CoreAudio
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui fișier creat cu rea intenție poate divulga informații ale utilizatorului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)
CoreGraphics
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui PDF creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30919
FileProvider
Disponibilitate pentru: macOS Big Sur
Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea tratării memoriei.
CVE-2021-30881: Simon Huang (@HuangShaomang) și pjf (IceSword Lab – Qihoo 360)
GPU Drivers
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30900: Yinyi Wu (@3ndy1) de la Ant Security Light-Year Lab
iCloud
Disponibilitate pentru: macOS Big Sur
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30906: Cees Elzinga
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-30824: Antonio Zekic (@antoniozekic) de la Diverto
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: au fost rezolvate mai multe probleme de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30901: Zuozhi Fan (@pattern_F_) de la Ant Security TianQiong Lab, Jack Dates de la RET2 Systems, Inc., Liu Long de la Ant Security Light-Year Lab, Yinyi Wu (@3ndy1) de la Ant Security Light-Year Lab
CVE-2021-30922: Jack Dates de la RET2 Systems, Inc., Yinyi Wu (@3ndy1)
IOGraphics
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30821: Tim Michaud (@TimGMichaud) de la Zoom Video Communications
IOMobileFrameBuffer
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30883: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30909: Zweig (Kunlun Lab)
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30916: Zweig (Kunlun Lab)
Model I/O
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui fișier creat cu rea intenție poate divulga informații ale utilizatorului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30910: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30911: Rui Yang și Xingwei Lin (Ant Security Light-Year Lab)
SMB
Disponibilitate pentru: macOS Big Sur
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30844: Peter Nguyen Vu Hoang (STAR Labs)
SMB
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2021-30868: Peter Nguyen Vu Hoang (STAR Labs)
SoftwareUpdate
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație fără privilegii să poată edita variabile NVRAM
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-30913: Kirin (@Pwnrin) și chenyuwang (@mzzzz__) de la Tencent Security Xuanwu Lab
SoftwareUpdate
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate obține acces la elementele Portchei ale unui utilizator
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2021-30912: Kirin (@Pwnrin) și chenyuwang (@mzzzz__) de la Tencent Security Xuanwu Lab
UIKit
Disponibilitate pentru: macOS Big Sur
Impact: o persoană cu acces fizic la un dispozitiv poate determina caracteristicile parolei unui utilizator într-un câmp de introducere de text securizat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-30915: Kostas Angelopoulos
Windows Server
Disponibilitate pentru: macOS Big Sur
Impact: un atacator local ar putea să vadă desktopul utilizatorului conectat anterior din ecranul de comutare rapidă între utilizatori
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2021-30908: ASentientBot
xar
Disponibilitate pentru: macOS Big Sur
Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30833: Richard Warren de la NCC Group
zsh
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere
Descriere: o problemă legată de permisiuni moștenite a fost remediată prin restricții suplimentare.
CVE-2021-30892: Jonathan Bar Or de la Microsoft
Alte mențiuni
iCloud
Dorim să-i mulțumim lui Ryan Pickren (ryanpickren.com) pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.