蘋果修補Sudo版程式漏洞

蘋果昨日針對MacOS Big Sur、Catalina及Mojave釋出安全更新，以修補包括Sudo程式在內的漏洞。

安全廠商Qualys一月底揭露，Sudo程式存在一個堆積緩衝溢位漏洞CVE-2021-3156，在預設組態情況下，任何本機用戶都能傳送sudoedit -s及以單反斜線（\）結尾的指令行參數開採，取得主機上的根執行權限。之後安全研究人員Matthew Hickey則證實，除了Linux外，這個漏洞也會影響macOS及IBM AIX、Oracle Solaris系統，IBM及Oracle已先後釋出修補。

蘋果則是在昨日釋出安全更新，解決macOS Big Sur 11.2、macOS Catalina 10.15.7和macOS Mojave 10.14.6上的sudo 1.9.5p2版本的漏洞。

此外，這次的安全更新還解決了Intel顯卡驅動程式2項漏洞，包括CVE-2021-1805頻外（out-of-bounds write）寫入漏洞及CVE-2021-1806競爭條件（race condition）漏洞，兩者都能讓攻擊者以核心權限執行任意程式碼，兩個漏洞都是由ABC Research和趨勢科技下的Zero Day Initiative（ZDI）合作發現並通報蘋果。

CVE-2021-1805及CVE-2021-1806影響macOS Big Sur和 Catalina，但不影響Big Sur。