United States Computer Emergency Readiness Team (US-CERT)は2月9日(米国時間)、「Apple Releases Security Updates |CISA」において、AppleがmacOS Big Sur、Catalina、およびMojaveに対して3件の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。これら脆弱性を放置すると、カーネル権限での任意コードの実行や特権の昇格といった被害を受ける危険性がある。
該当する脆弱性に関する情報はAppleによる次のページにまとまっている。
今回リリースされたプロダクトおよびバージョンは次のとおり。
- macOS Big Sur 11.2.1
- macOS Catalina 10.15.7 Supplemental Update
- macOS Mojave 10.14.6 Security Update2021-002
このリリースでは次の3件の脆弱性が修正されている。
- CVE-2021-1805: Intel Graphics Driverにおいて、カーネル権限で任意のコードを実行される可能性がある。
- CVE-2021-1806: Intel Graphics Driverにおいて、カーネル権限で任意のコードを実行される可能性がある。
- CVE-2021-3156: sudoコマンドにおいて、ローカルの攻撃者が特権を昇格できる可能性がある
CVE-2021-3156は「Baron Samedit」と呼ばれている脆弱性で、macOSではBig Sur 11.2以前、Catalina 10.15.7以前、macOS Mojave 10.14.6以前の各バージョンに搭載されたsudoコマンドが影響を受ける。今回のリリースでは、脆弱性が修正されたsudo 1.9.5p2にアップデートすることで問題を解消している。CVE-2021-1805とCVE-2021-1806の2件についてはBig Sur 11.2以前とCatalina 10.15.7以前のバージョンが影響を受けるが、Mojaveは対象になっていない。