CVE-2021-31010

CVSS 7.5 HIGHEPSS 3.7%● KEVCWE-502

Em resumo

Um programa nos dispositivos Apple conseguia ignorar restrições de segurança ao processar dados não confiáveis de forma inadequada. Isso permitia que um app confinado escapasse de suas limitações e potencialmente acessasse informações sensíveis.

Detalhe técnico

Vulnerabilidade de desserialização (CWE-502) em processos confinados do macOS, iOS, iPadOS e watchOS permite contornar o isolamento de sandbox por falta de validação adequada de objetos serializados. O ataque requer execução dentro de um contexto confinado, mas consegue romper o confinamento; foi explorada ativamente antes da correção.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A deserialization issue was addressed through improved validation. This issue is fixed in Security Update 2021-005 Catalina, iOS 12.5.5, iOS 14.8 and iPadOS 14.8, macOS Big Sur 11.6, watchOS 7.6.2. A sandboxed process may be able to circumvent sandbox restrictions. Apple was aware of a report that this issue may have been actively exploited at the time of release..

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Produtos afetados

Apple · macOS Apple · watchOS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://support.apple.com/en-us/HT212804 https://support.apple.com/en-us/HT212805 https://support.apple.com/en-us/HT212806 https://support.apple.com/en-us/HT212807 https://support.apple.com/en-us/HT212824 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-31010