O sigurnosnom sadržaju sustava macOS Big Sur 11.4
U ovom je dokumentu opisan sigurnosni sadržaj sustava macOS Big Sur 11.4.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.4
AMD
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30678: Yu Wang (Didi Research America)
AMD
Dostupno za: macOS Big Sur
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30676: shrek_wzw
App Store
Dostupno za: macOS Big Sur
Učinak: neka bi zlonamjerna aplikacija mogla izaći izvan svoje memorije za testiranje
Opis: problem s obradom puta riješen je poboljšanom provjerom valjanosti.
CVE-2021-30688: Thijs Alkemade (Computest Research Division)
AppleScript
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30669: Yair Hoffman
Audio
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30707: hjy79425575 u suradnji s inicijativom Zero Day (Trend Micro)
Audio
Dostupno za: macOS Big Sur
Učinak: parsiranjem zlonamjerne audiodatoteke moglo je doći do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30685: Mickey Jin (@patch1t) (Trend Micro)
Bluetooth
Dostupno za: macOS Big Sur
Učinak: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem
Opis: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
CVE-2021-30672: say2 (ENKI)
Core Services
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernih audiodatoteka moglo bi doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30686: Mickey Jin (Trend Micro)
CoreText
Dostupno za: macOS Big Sur
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjernog fonta može se otkriti procesna memorija.
CVE-2021-30733: Sunglin (Knownsec 404)
CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)
Crash Reporter
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30727: Cees Elzinga
CVMS
Dostupno za: macOS Big Sur
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
Dock
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi pristupiti povijesti korisnikovih poziva
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2021-30673: Josh Parnham (@joshparnham)
FontParser
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30771: Mickey Jin (@patch1t) (Trend Micro), CFF (Topsec Alpha Team)
FontParser
Dostupno za: macOS Big Sur
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjernog fonta može se otkriti procesna memorija
CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)
Graphics Drivers
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30684: Liu Long (Ant Security Light-Year Lab)
Graphics Drivers
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30735: Jack Dates iz tvrtke RET2 Systems, Inc. (@ret2systems) u suradnji s inicijativom Zero Day (Trend Micro)
Heimdal
Dostupno za: macOS Big Sur
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi uzrokovati uskraćivanje usluge ili otkriti sadržaj memorije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod, što može uzrokovati ugrožavanje korisničkih podataka
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30683: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30700: Ye Zhang(@co0py_Cat) (Baidu Security)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30701: Mickey Jin (@patch1t) (Trend Micro) i Ye Zhang (Baidu Security)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne ASTC datoteke može doći do otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30705: Ye Zhang (Baidu Security)
ImageIO
Dostupno za: macOS Big Sur
Učinak: taj je problem riješen poboljšanim provjerama
Opis: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka.
CVE-2021-30706: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), Jzhu u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: problem s čitanjem izvan opsega riješen je uklanjanjem koda sa slabim točkama.
CVE-2021-30719: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30728: Liu Long (Ant Security Light-Year Lab)
CVE-2021-30726: Yinyi Wu (@3ndy1) iz tvrtke Qihoo 360 Vulcan Team
IOUSBostFamily
Dostupno za: macOS Big Sur
Učinak: taj je problem riješen poboljšanim provjerama
Opis: aplikacija bez ovlasti mogla bi dohvatiti USB uređaje.
CVE-2021-30731: UTM (@UTMapp)
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30704: anonimni istraživač
Kernel
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne poruke može se prouzročiti odbijanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30715: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2021-30736: Ian Beer (Google Project Zero)
Kernel
Dostupno za: macOS Big Sur
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-30739: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
Kernel
Dostupno za: macOS Big Sur
Učinak: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom
Opis: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti.
CVE-2021-30703: anonimni istraživač
Kext Management
Dostupno za: macOS Big Sur
Učinak: lokalni korisnik mogao bi učitati nepotpisana proširenja kernela
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30680: Csaba Fitzl (@theevilbit) (Offensive Security)
LaunchServices
Dostupno za: macOS Big Sur
Učinak: neka bi zlonamjerna aplikacija mogla izaći izvan svoje memorije za testiranje
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2021-30677: Ron Waisberg (@epsilan)
Login Window
Dostupno za: macOS Big Sur
Učinak: osoba s fizičkim pristupom Mac računalu mogla bi zaobići prozor za prijavu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30702: Jewel Lambert (Original Spin, LLC.)
Dostupno za: macOS Big Sur
Učinak: napadač s povlaštenim mrežnim ovlastima mogao bi pogrešno predstaviti stanje aplikacije
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30696: Fabian Ising i Damian Poddebniak sa Sveučilišta primijenjenih znanosti u Münsteru
MediaRemote
Dostupno za: macOS Big Sur
Učinak: problem s privatnošću na zaslonu Izvodi se riješen je poboljšanim dozvolama
Opis: lokalni napadač možda će moći vidjeti podatke za Izvodi se na zaključanom zaslonu.
CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem s otkrivanjem informacija riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30723: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30691: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30692: Mickey Jin (@patch1t) (Trend Micro)
CVE-2021-30694: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30725: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30746: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30693: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30695: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30708: Mickey Jin (@patch1t) i Junzhi Lu (@pwn0rz) (Trend Micro)
Model I/O
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30709: Mickey Jin (@patch1t) (Trend Micro)
NSOpenPanel
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2021-30679: Gabe Kirkpatrick (@gabe_k)
OpenLDAP
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-36226
CVE-2020-36227
CVE-2020-36223
CVE-2020-36224
CVE-2020-36225
CVE-2020-36221
CVE-2020-36228
CVE-2020-36222
CVE-2020-36230
CVE-2020-36229
PackageKit
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: problem s logikom provjere valjanosti putanje za fiksne veze riješen je poboljšanom sanacijom putanja.
CVE-2021-30738: Qingyang Chen (Topsec Alpha Team) i Csaba Fitzl (@theevilbit) (Offensive Security)
Sandbox
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2021-30751: Csaba Fitzl (@theevilbit) (Offensive Security)
Security
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog certifikata moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije u dekoderu ASN.1 riješen je uklanjanjem koda sa slabim točkama.
CVE-2021-30737: xerub
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi izazvati odbijanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30716: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s privilegiranim mrežnim ovlastima možda može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30717: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: problem s obradom puta riješen je poboljšanom provjerom valjanosti.
CVE-2021-30721: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Big Sur
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: problem s otkrivanjem informacija riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30722: Aleksandar Nikolic (Cisco Talos)
smbx
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30712: Aleksandar Nikolic (Cisco Talos)
Software Update
Dostupno za: macOS Big Sur
Učinak: osoba s fizičkim pristupom Mac računalu može zaobići prozor za prijavu tijekom ažuriranja softvera
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30668: Syrus Kimiagar i Danilo Paffi Monteiro
SoftwareUpdate
Dostupno za: macOS Big Sur
Učinak: korisnik bez ovlasti mogao bi izmijeniti ograničene postavke
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30718: SiQian Wei (ByteDance Security)
TCC
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija možda će moći slati neovlaštene Appleove događaje u Finder
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30671: Ryan Bell (@iRyanBell)
TCC
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2021-30713: anonimni istraživač
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem podrijetla iz više izvora s elementima iframe riješen je poboljšanim praćenjem sigurnosnog podrijetla.
CVE-2021-30744: Dan Hite (jsontop)
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-21779: Marcin Towalski (Cisco Talos)
WebKit
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30682: Prakash (@1lastBr3ath)
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30689: anonimni istraživač
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2021-30749: anonimni istraživač i korisnik mipu94 (laboratorij SEFCOM, ASU) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2021-30734: Jack Dates iz tvrtke RET2 Systems, Inc. (@ret2systems) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: macOS Big Sur
Učinak: zlonamjerna web-stranica mogla bi pristupiti ograničenim ulazima na proizvoljnim poslužiteljima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30720: David Schütz (@xdavidhu)
WebRTC
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-23841: Tavis Ormandy iz tvrtke Google
CVE-2021-30698: Tavis Ormandy iz tvrtke Google
Dodatna zahvala
App Store
Željeli bismo zahvaliti Thijsu Alkemadeu iz tvrtke Computest Research Division na pomoći.
CoreCapture
Željeli bismo zahvaliti Zuozhiju Fanu (@pattern_F_) (Ant-financial TianQiong Security Lab) na pomoći.
ImageIO
Željeli bismo zahvaliti Jzhuu koji surađuje s inicijativom Zero Day (Trend Micro) i anonimnom istraživaču na pomoći.
Mail Drafts
Željeli bismo zahvaliti Lauritzu Holtmannu (@_lauritz_) na pomoći.
WebKit
Željeli bismo zahvaliti Chrisu Sallsu (@salls) (Makai Security) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.