macOS 11.5のリリースに伴い、macOS CatalinaとMojaveの両方にセキュリティアップデートが配信されました。悪意のあるアプリケーションによるルートアクセスの取得や、カーネル権限による任意のコードの実行などにつながる可能性のある脆弱性が修正されています。

macOS CatalinaとMojaveには20以上のセキュリティ修正が含まれています。多くのユーザーにとって、これらのセキュリティ問題のリスクは低いかもしれませんが、中には深刻な問題が発生する可能性があるため、インストールすることが重要なアップデートです。

Mac で「システム環境設定」>「ソフトウェア・アップデート」または「」>「この Mac について」>「ソフトウェア・アップデート」に移動して、アップデートの準備ができているかどうかを確認します。

macOS Catalina のすべてのセキュリティ修正は次のとおりです。

AMDカーネル

対応OS: macOS Catalina

影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性がある

説明: 入力検証を強化し、メモリ破損の問題を解決しました。

CVE-2021-30805: ABCリサーチ社

アプリキット

対応OS: macOS Catalina

影響: 悪意を持って作成されたファイルを開くと、予期せぬアプリケーションの終了や任意のコードの実行につながる可能性があります。

説明: 脆弱なコードを削除することで情報漏洩の問題が解決されました。

CVE-2021-30790: hjy79425575（Trend Micro Zero Day Initiative と連携）

オーディオ

対応OS: macOS Catalina

影響: ローカルの攻撃者が予期せぬアプリケーションの終了や任意のコードの実行を引き起こす可能性があります。

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30781: tr3e

ブルートゥース

対応OS: macOS Catalina

影響: 悪意のあるアプリケーションがルート権限を取得できる可能性がある

説明: 状態管理を改善し、メモリ破損の問題を解決しました。

CVE-2021-30672: ENKI の say2

コアオーディオ

対応OS: macOS Catalina

影響: 悪意を持って作成されたオーディオファイルを処理すると、任意のコードが実行される可能性がある

説明: 状態管理を改善し、メモリ破損の問題を解決しました。

CVE-2021-30775: Ant Security Light-Year Lab の JunDong Xie 氏

コアオーディオ

対応OS: macOS Catalina

影響: 悪意のあるオーディオファイルを再生すると、予期せずアプリケーションが終了する可能性があります。

説明: 検証を強化することで、ロジックの問題に対処しました。

CVE-2021-30776: Ant Security Light-Year Lab の JunDong Xie 氏

コアストレージ

対応OS: macOS Catalina

影響: 悪意のあるアプリケーションがルート権限を取得できる可能性がある

説明: 検証を強化することで、インジェクションの問題を解決しました。

CVE-2021-30777: Zoom Video Communications の Tim Michaud(@TimGMichaud) と ECSC Group plc の Gary Nield

コアテキスト

対応OS: macOS Catalina

影響: 悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある

説明: 入力検証を強化することで、範囲外の読み取りに対処しました。

CVE-2021-30789: Knownsec 404チームのSunglin氏、トレンドマイクロのMickey Jin氏（@patch1t）

コアテキスト

対応OS: macOS Catalina

影響: 悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。

説明: 入力検証を強化することで、範囲外の読み取りに対処しました。

CVE-2021-30733: Knownsec 404のSunglin

CVMS

対応OS: macOS Catalina

影響: 悪意のあるアプリケーションがルート権限を取得できる可能性がある

説明: 境界チェックを改善することで、境界外書き込みの問題が解決されました。

CVE-2021-30780: Zoom Video CommunicationsのTim Michaud(@TimGMichaud)

ディルド

対応OS: macOS Catalina

影響: サンドボックス化されたプロセスはサンドボックスの制限を回避できる可能性がある

説明: 検証を強化することで、ロジックの問題に対処しました。

CVE-2021-30768: Linus Henze (pinauten.de)

フォントパーサー

対応OS: macOS Catalina

影響: 悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある

説明: 入力検証の改善により整数オーバーフローに対処しました。

CVE-2021-30760: Knownsec 404チームのSunglin

フォントパーサー

対応OS: macOS Catalina

影響: 悪意を持って作成されたフォントファイルを処理すると、任意のコードが実行される可能性がある

説明: 入力検証を強化することでスタック オーバーフローに対処しました。

CVE-2021-30759: hjy79425575（Trend Micro Zero Day Initiative と連携）

フォントパーサー

対応OS: macOS Catalina

影響: 悪意を持って作成された tiff ファイルを処理すると、サービス拒否攻撃が発生したり、メモリの内容が漏洩したりする可能性がある。

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30788: トレンドマイクロゼロデイイニシアチブと協力するtr3e

イメージIO

対応OS: macOS Catalina

影響: 悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある

説明: 境界チェックを改善することで、バッファ オーバーフローに対処しました。

CVE-2021-30785: トレンドマイクロのMickey Jin氏（@patch1t）、Topsec AlphaチームのCFF

インテル グラフィックス ドライバー

対応OS: macOS Catalina

影響: アプリケーションが予期しないシステム終了を引き起こしたり、カーネルメモリに書き込みを行ったりする可能性があります。

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30787: トレンドマイクロゼロデイイニシアチブに協力する匿名ユーザー

インテル グラフィックス ドライバー

対応OS: macOS Catalina

影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性がある

説明: 入力検証を強化することで、範囲外の書き込みに対処しました。

CVE-2021-30765: Ant Security Light-Year Lab の Liu Long 氏

CVE-2021-30766: Ant Security Light-Year Lab の Liu Long 氏

IOUSBホストファミリー

対応OS: macOS Catalina

影響: 権限のないアプリケーションがUSBデバイスをキャプチャできる可能性がある

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30731: UTM (@UTMapp)

カーネル

対応OS: macOS Catalina

影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性がある

説明: メモリ管理を改善することで、二重解放の問題が解決されました。

CVE-2021-30703: 匿名の研究者

カーネル

対応OS: macOS Catalina

影響: アプリケーションがカーネル権限で任意のコードを実行できる可能性がある

説明: 状態管理を改善することでロジックの問題が解決されました。

CVE-2021-30793: Ant Security TianQiong Lab の Zuozhi Fan (@pattern_F_)

ローンチサービス

対応OS: macOS Catalina

影響: 悪意のあるアプリケーションがサンドボックスから抜け出す可能性がある

説明: この問題は、環境のサニタイズ処理を改善することで解決されました。

CVE-2021-30677: ロン・ワイスバーグ (@epsilan)

ローンチサービス

対応OS: macOS Catalina

影響: サンドボックス化されたプロセスはサンドボックスの制限を回避できる可能性がある

説明: アクセス制限を強化することでアクセスの問題が解決されました。

CVE-2021-30783: ロン・ワイスバーグ (@epsilan)

モデルI/O

対応OS: macOS Catalina

影響: 悪意を持って作成された画像を処理すると、サービス拒否が発生する可能性があります。

説明: 検証を強化することで、ロジックの問題に対処しました。

CVE-2021-30796: トレンドマイクロのミッキー・ジン氏（@patch1t）

サンドボックス

対応OS: macOS Catalina

影響: 悪意のあるアプリケーションが制限されたファイルにアクセスできる可能性があります

説明: この問題は、チェックを強化することで解決されました。

CVE-2021-30782: Offensive Security の Csaba Fitzl (@theevilbit)

ウェブキット

対応OS: macOS Catalina

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

説明: メモリ処理を強化し、複数のメモリ破損の問題を解決しました。

CVE-2021-30799: Google Project Zeroのセルゲイ・グラズノフ

追加の認識

configd

Offensive Security の Csaba Fitzl (@theevilbit) 氏のご協力に感謝いたします。

コアサービス

ご協力いただいた Zhongcheng Li (CK01) に感謝いたします。

コアテキスト

ご協力いただいたトレンドマイクロのMickey Jin (@patch1t) に感謝いたします。

クラッシュレポーター

ご協力いただいた上海交通大学の Group of Software Security In Progress (GOSSIP) の Yizhuo Wang 氏に感謝申し上げます。

crontabs

Offensive Security の Csaba Fitzl (@theevilbit) 氏のご協力に感謝いたします。

IOKit

ご協力いただいた George Nosenko 氏に感謝申し上げます。

libxml2

彼らの援助に感謝したいと思います。

スポットライト

Offensive Security の Csaba Fitzl (@theevilbit) 氏のご協力に感謝いたします。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。