苹果昨日针对MacOS Big Sur、Catalina及Mojave发布安全更新,以修补包括Sudo程序在内的漏洞。
安全厂商Qualys一月底披露,Sudo程序存在一个堆积缓冲溢出漏洞CVE-2021-3156,在默认组态情况下,任何本机用户都能发送sudoedit -s及以单反斜线(\)结尾的指令行参数开采,取得主机上的根执行权限。之后安全研究人员Matthew Hickey则证实,除了Linux外,这个漏洞也会影响macOS及IBM AIX、Oracle Solaris系统,IBM及Oracle已先后发布修补。
苹果则是在昨日发布安全更新,解决macOS Big Sur 11.2、macOS Catalina 10.15.7和macOS Mojave 10.14.6上的sudo 1.9.5p2版本的漏洞。
此外,这次的安全更新还解决了Intel显卡驱动程序2项漏洞,包括CVE-2021-1805频外(out-of-bounds write)写入漏洞及CVE-2021-1806竞争条件(race condition)漏洞,两者都能让攻击者以核心权限执行任意程序代码,两个漏洞都是由ABC Research和趋势科技下的Zero Day Initiative(ZDI)合作发现并通报苹果。
CVE-2021-1805及CVE-2021-1806影响macOS Big Sur和Catalina,但不影响Big Sur。