Om säkerhetsinnehållet i macOS Big Sur 11.6.1

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Big Sur 11.6.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Big Sur 11.6.1

Släpptes 25 oktober 2021

AppleScript

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av en AppleScript-binärfil med skadligt innehåll kan leda till oväntat appavslut eller till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

Audio

Tillgängligt för: macOS Big Sur

Effekt: en app med skadligt innehåll kan höja behörigheter

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2021-30907: Zweig på Kunlun Lab

Bluetooth

Tillgängligt för: macOS Big Sur

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30899: Weiteng Chen, Zheng Zhang och Zhiyun Qian på UC Riverside och Yu Wang på Didi Research America

ColorSync

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett minnesfel vid bearbetning av ICC-profiler åtgärdades genom förbättrad indatavalidering.

CVE-2021-30926: Jeremy Brown

Lades till 25 maj 2022

ColorSync

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett minnesfel förekom i bearbetningen av ICC-profiler. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2021-30917: Alexandru-Vlad Niculae och Mateusz Jurczyk på Google Project Zero

Continuity Camera

Tillgängligt för: macOS Big Sur

Effekt: En lokal angripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett problem med en okontrollerad formatsträng åtgärdades genom förbättrad indatavalidering.

CVE-2021-30903: Gongyu Ma vid Hangzhou Dianzi University

Lades till 19 januari 2022, uppdaterades 25 maj 2022

CoreAudio

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av en fil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30905: Mickey Jin (@patch1t) på Trend Micro

Lades till 19 januari 2022

CoreGraphics

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av en PDF med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30919

FileProvider

Tillgängligt för: macOS Big Sur

Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad minneshantering.

CVE-2021-30881: Simon Huang (@HuangShaomang) och pjf på IceSword Lab på Qihoo 360

GPU Drivers

Tillgängligt för: macOS Big Sur

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30900: Yinyi Wu (@3ndy1) på Ant Security Light-Year Lab

Lades till 19 januari 2022

iCloud

Tillgängligt för: macOS Big Sur

Effekt: en lokal angripare kan höja sin behörighet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30906: Cees Elzinga

Intel Graphics Driver

Tillgängligt för: macOS Big Sur

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30824: Antonio Zekic (@antoniozekic) på Diverto

Intel Graphics Driver

Tillgängligt för: macOS Big Sur

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: flera problem med skrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30901: Zuozhi Fan (@pattern_F_) på Ant Security TianQiong Lab, Jack Dates på RET2 Systems, Inc., Liu Long på Ant Security Light-Year Lab, Yinyi Wu (@3ndy1) på Ant Security Light-Year Lab

CVE-2021-30922: Jack Dates på RET2 Systems, Inc., Yinyi Wu (@3ndy1)

Uppdaterades 19 januari 2022, uppdaterades 25 maj 2022

IOGraphics

Tillgängligt för: macOS Big Sur

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2021-30821: Tim Michaud (@TimGMichaud) på Zoom Video Communications

IOMobileFrameBuffer

Tillgängligt för: macOS Big Sur

Effekt: en app kan köra opålitlig kod med kernelbehörighet. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2021-30883: en anonym forskare

Kernel

Tillgängligt för: macOS Big Sur

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2021-30909: Zweig på Kunlun Lab

Kernel

Tillgängligt för: macOS Big Sur

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2021-30916: Zweig på Kunlun Lab

Model I/O

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av en fil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30910: Mickey Jin (@patch1t) på Trend Micro

Model I/O

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30911: Rui Yang och Xingwei Lin på Ant Security Light-Year Lab

SMB

Tillgängligt för: macOS Big Sur

Effekt: En fjärrangripare kan läcka minne

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30844: Peter Nguyen Vu Hoang på STAR Labs

Lades till 25 maj 2022

SMB

Tillgängligt för: macOS Big Sur

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2021-30868: Peter Nguyen Vu Hoang på STAR Labs

SoftwareUpdate

Tillgängligt för: macOS Big Sur

Effekt: en app som saknar behörighet kan redigera NVRAM-variabler

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2021-30913: Kirin (@Pwnrin) och Chenyuwang (@mzzzz__) på Tencent Security Xuanwu Lab

Uppdaterades 25 maj 2022

SoftwareUpdate

Tillgängligt för: macOS Big Sur

Effekt: en skadlig app kunde få åtkomst till en användares nyckelringsobjekt

Beskrivning: problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2021-30912: Kirin (@Pwnrin) och Chenyuwang (@mzzzz__) på Tencent Security Xuanwu Lab

UIKit

Tillgängligt för: macOS Big Sur

Effekt: en person med fysisk åtkomst till en enhet kan identifiera egenskaper hos en användares lösenord i ett säkert textinmatningsfält

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30915: Kostas Angelopoulos

Windows Server

Tillgängligt för: macOS Big Sur

Effekt: en lokal angripare kan visa föregående inloggad användares skrivbord från skärmen för snabbt användarbyte

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30908: ASentientBot

xar

Tillgängligt för: macOS Big Sur

Effekt: uppackning av ett arkiv med skadligt innehåll kan göra det möjligt för en angripare att skriva opålitliga filer

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-30833: Richard Warren på NCC Group

Lades till 19 januari 2022

zsh

Tillgängligt för: macOS Big Sur

Effekt: En skadlig app kan ändra skyddade delar av filsystemet

Beskrivning: ett problem med ärvda behörigheter åtgärdades med ytterligare begränsningar.

CVE-2021-30892: Jonathan Bar Or på Microsoft

Ytterligare tack

iCloud

Vi vill tacka Ryan Pickren (ryanpickren.com) för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: