Appleは年2月1日(米国時間)、macOS Big Sur、macOS Catalina、macOS Mojaveのそれぞれのアップデートの提供を開始した。配信されたバージョンおよびアップデートは次のとおり。

  • macOS Big Sur 11.2
  • Security Update 2021-001 Catalina
  • Security Update 2021-001 Mojave

アップデートで修正される脆弱性に関する情報は次のページにまとまっている。

  • About the security content of macOS Big Sur 11.2、Security Update 2021-001 Catalina、Security Update 2021-001 Mojave - Apple サポート

    About the security content of macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave - Apple サポート

修正対象となっている主な脆弱性は次のとおり。

  • リモートから攻撃者によってサービス妨害攻撃(DoS: Denial of Service attack)を引き起こされる脆弱性(Analytics、Crash Reporter、ImageIO、Kernel、OpenLDAP)
  • リモートから攻撃者によって任意のコードが実行される脆弱性(CoreText、FontParser、ImageIO)
  • リモートから攻撃者によってメモリリークを実行される脆弱性(FontParser)
  • ローカルユーザーが特権昇格できる脆弱性(Crash Reporter、Endpoint Security、IOSkywalkFamily)
  • ローカルユーザーが任意のファイルを読み込める問題(APFS)
  • ローカルユーザーがシステムファイルを編集できる脆弱性(Crash Reporter)
  • 細工されたWebコンテンツを処理することでコードまたは任意のコードが実行される脆弱性(CFNetwork Cache、CoreAudio、WebKit)
  • 細工されたWebコンテンツを処理することでiframeサンドボックスポリシーに違反できる脆弱性(WebKit)
  • 細工されたフォントファイルを処理することで任意のコードが実行される脆弱性(CoreGraphics、FontParser)
  • 細工され画像を処理することで任意のコードが実行される脆弱性(CoreMedia、ImageIO)
  • 細工されテキストファイルを処理することで任意のコードが実行される脆弱性(CoreText)
  • 細工されUSDファイルを処理することで任意のコードが実行されたりヒープが破壊されたりする脆弱性(Model I/O)
  • 細工されファイルを処理することでヒープが破壊される脆弱性(Model I/O)
  • 細工され画像を処理することでヒープが破壊される脆弱性(Model I/O)
  • 細工されたSambaネットワーク共有をマウントすることで任意のコードが実行される脆弱性(NetFSFramework)
  • 悪意あるアプリケーションが特権昇格できる脆弱性(Kernel、Power Management)
  • 悪意あるアプリケーションがシステム権限で任意のコードをできる脆弱性(IOKit、Kernel)
  • 悪意あるアプリケーションが任意のコードを実行してユーザー情報を窃取できる脆弱性(CoreAnimation)
  • 悪意あるアプリケーションがユーザー情報を窃取できる脆弱性(Directory Utility)
  • 悪意あるアプリケーションがカーネルメモリにアクセスできる脆弱性(FairPlay)

Appleは、リモート攻撃で任意のコードが実行されるWebKitの脆弱性と、悪意あるアプリケーションが特権昇格できるカーネルの脆弱性について、活発に悪用されている事実があると説明している。該当するプロダクトを使用している場合は迅速にアップデートを適用することが望まれる。