Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
tvOS 14.4
Udgivet 26. januar 2021
Analyse
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1761: Cees Elzinga
Post tilføjet 1. februar 2021
APFS
Fås til: Apple TV 4K og Apple TV HD
Effekt: En lokal bruger kan muligvis læse vilkårlige arkiver
Beskrivelse: Problemet er løst med forbedret tilladelseslogik.
CVE-2021-1797: Thomas Tempelmann
Post tilføjet 1. februar 2021
CoreAnimation
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket medførte afsløring af brugeroplysninger
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2021-1760: @S0rryMybad fra 360 Vulcan Team
Post tilføjet 1. februar 2021
CoreAudio
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel
Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1747: JunDong Xie fra Ant Security Light-Year Lab
Post tilføjet 1. februar 2021
CoreGraphics
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2021-1776: Ivan Fratric fra Google Project Zero
Post tilføjet 1. februar 2021
CoreMedia
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1759: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT
Post tilføjet 1. februar 2021
CoreText
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.
CVE-2021-1772: Mickey Jin (@patch1t) fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Post tilføjet 1. februar 2021, opdateret 16. marts 2021
CoreText
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1792: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Post tilføjet 1. februar 2021, opdateret 16. marts 2021
Crash Reporter
Fås til: Apple TV 4K og Apple TV HD
Effekt: En lokal bruger kan muligvis oprette eller redigere systemarkiver
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-1786: Csaba Fitzl (@theevilbit) fra Offensive Security
Post tilføjet 1. februar 2021
Crash Reporter
Fås til: Apple TV 4K og Apple TV HD
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Flere problemer er løst via forbedret logik.
CVE-2021-1787: James Hutchins
Post tilføjet 1. februar 2021
FairPlay
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse
Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun og Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Post tilføjet 1. februar 2021, opdateret 16. marts 2021
FontParser
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1758: Peter Nguyen fra STAR Labs
Post tilføjet 1. februar 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-1818: Xingwei Lin fra Ant-financial Light-Year Security Lab
Post tilføjet 16. marts 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1766: Danny Rosseau fra Carve Systems
Post tilføjet 1. februar 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1785: Xingwei Lin fra Ant Security Light-Year Lab
Post tilføjet 1. februar 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.
CVE-2021-1744: Xingwei Lin fra Ant Security Light-Year Lab
Post tilføjet 1. februar 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-1818: Xingwei Lin fra Ant-financial Light-Year Security Lab
Post tilføjet 1. februar 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-1742: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin(@singi21a) fra THEORI, Mickey Jin og Qi Sun fra Trend Micro, som arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin fra Ant Security Light-Year Lab
Post tilføjet 1. februar 2021, opdateret 16. marts 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-1773: Xingwei Lin fra Ant Security Light-Year Lab
Post tilføjet 1. februar 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1741: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab
Post tilføjet 1. februar 2021, opdateret 16. marts 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: Det var et out-of-bounds-læseproblem i curl. Problemet er løst ved forbedret kontrol af grænser.
CVE-2021-1778: Xingwei Lin fra Ant Security Light-Year Lab
Post tilføjet 1. februar 2021
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et adgangsproblem er løst gennem forbedret hukommelseshåndtering.
CVE-2021-1783: Xingwei Lin fra Ant Security Light-Year Lab
Post tilføjet 1. februar 2021
IOSkywalkFamily
Fås til: Apple TV 4K og Apple TV HD
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2021-1757: Proteas og Pan ZhenPeng (@Peterpan0927) fra Alibaba Security
Post tilføjet 1. februar 2021
iTunes Store
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af en skadelig URL-adresse kan medføre kørsel af vilkårlig javascript-kode
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2021-1748: CodeColorist, som arbejder med Ant Security Light-Year Labs
Post tilføjet 1. februar 2021, opdateret 16. marts 2021
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2021-1764: @m00nbsd
Post tilføjet 1. februar 2021, opdateret 16. marts 2021
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Flere problemer er løst via forbedret logik.
CVE-2021-1750: @0xalsr
Post tilføjet 1. februar 2021
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.
CVE-2021-1782: En anonym programmør
Swift
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2021-1769: CodeColorist fra Ant-Financial Light-Year Labs
Post tilføjet 1. februar 2021
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2021-1788: Francisco Alonso (@revskills)
Post tilføjet 1. februar 2021, opdateret 16. marts 2021
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.
CVE-2021-1789: @S0rryMybad fra 360 Vulcan Team
Post tilføjet 1. februar 2021
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af skadeligt webindhold kan medføre overtrædelse af sandbox-politikken for iframe
Beskrivelse: Problemet blev løst ved forbedret sandbox-håndhævelse for iframe.
CVE-2021-1801: Eliya Stein fra Confiant
Post tilføjet 1. februar 2021
WebRTC
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt websted kan muligvis have adgang til fortrolige porte på vilkårlige servere
Beskrivelse: Et problem med omdirigering til en port blev håndteret ved hjælp af yderligere portvalidering.
CVE-2021-1799: Gregory Vishnepolsky og Ben Seri fra Armis Security samt Samy Kamkar
Post tilføjet 1. februar 2021
Yderligere anerkendelser
iTunes Store
Vi vil gerne takke CodeColorist fra Ant-Financial Light-Year Labs for hjælpen.
Post tilføjet 1. februar 2021
Kernel
Vi vil gerne takke Junzhi Lu (@pwn0rz), Mickey Jin og Jesse Change fra Trend Micro for hjælpen.
Post tilføjet 1. februar 2021
libpthread
Vi vil gerne takke CodeColorist fra Ant-Financial Light-Year Labs for hjælpen.
Post tilføjet 1. februar 2021
Store Demo
Vi vil gerne takke @08Tc3wBB for hjælpen.
Post tilføjet 1. februar 2021