United States Computer Emergency Readiness Team (US-CERT)は2月9日(米国時間)、「Apple Releases Security Updates |CISA」において、AppleがmacOS Big Sur、Catalina、およびMojaveに対して3件の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。これら脆弱性を放置すると、カーネル権限での任意コードの実行や特権の昇格といった被害を受ける危険性がある。

該当する脆弱性に関する情報はAppleによる次のページにまとまっている。

  • About the security content of macOS Big Sur 11.2.1、macOS Catalina 10.15.7 Supplemental Update、and macOS Mojave 10.14.6 Security Update 2021-002 - Apple Support

    About the security content of macOS Big Sur 11.2.1, macOS Catalina 10.15.7 Supplemental Update, and macOS Mojave 10.14.6 Security Update 2021-002 - Apple Support

今回リリースされたプロダクトおよびバージョンは次のとおり。

  • macOS Big Sur 11.2.1
  • macOS Catalina 10.15.7 Supplemental Update
  • macOS Mojave 10.14.6 Security Update2021-002

このリリースでは次の3件の脆弱性が修正されている。

  • CVE-2021-1805: Intel Graphics Driverにおいて、カーネル権限で任意のコードを実行される可能性がある。
  • CVE-2021-1806: Intel Graphics Driverにおいて、カーネル権限で任意のコードを実行される可能性がある。
  • CVE-2021-3156: sudoコマンドにおいて、ローカルの攻撃者が特権を昇格できる可能性がある

CVE-2021-3156は「Baron Samedit」と呼ばれている脆弱性で、macOSではBig Sur 11.2以前、Catalina 10.15.7以前、macOS Mojave 10.14.6以前の各バージョンに搭載されたsudoコマンドが影響を受ける。今回のリリースでは、脆弱性が修正されたsudo 1.9.5p2にアップデートすることで問題を解消している。CVE-2021-1805とCVE-2021-1806の2件についてはBig Sur 11.2以前とCatalina 10.15.7以前のバージョンが影響を受けるが、Mojaveは対象になっていない。