Om sikkerhedsindholdet i tvOS 14.6

I dette dokument beskrives sikkerhedsindholdet i tvOS 14.6.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 14.6

Udgivet 24. maj 2021

Audio

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30707: hjy79425575, der arbejder med Trend Micros Zero Day Initiative

Audio

Fås til: Apple TV 4K og Apple TV HD

Effekt: Parsing af et skadeligt lydarkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30685: Mickey Jin (@patch1t) fra Trend Micro

CoreAudio

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30686: Mickey Jin fra Trend Micro

CoreText

Fås til: Apple TV 4K og Apple TV HD

Effekt: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering

Beskrivelse: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse.

CVE-2021-30753: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-30733: Sunglin fra Knownsec 404

Post tilføjet 21. juli 2021

Crash Reporter

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30727: Cees Elzinga

CVMS

Fås til: Apple TV 4K og Apple TV HD

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30724: Mickey Jin (@patch1t) fra Trend Micro

FontParser

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30771: Mickey Jin (@patch1t) fra Trend Micro, CFF fra Topsec Alpha Team

Post tilføjet 19. januar 2022

FontParser

Fås til: Apple TV 4K og Apple TV HD

Effekt: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering

Beskrivelse: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse.

CVE-2021-30755: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 21. juli 2021

Heimdal

Fås til: Apple TV 4K og Apple TV HD

Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan forårsage Denial of Service-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

ImageIO

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30687: Hou JingYi (@hjy79425575) fra Qihoo 360

ImageIO

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30700: Ye Zhang(@co0py_Cat) fra Baidu Security

ImageIO

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30701: Mickey Jin (@patch1t) fra Trend Micro og Ye Zhang fra Baidu Security

ImageIO

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt ASTC-arkiv kan medføre afsløring af hukommelsesindhold

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30705: Ye Zhang fra Baidu Security

ImageIO

Fås til: Apple TV 4K og Apple TV HD

Effekt: Problemet er løst ved forbedret kontrol

Beskrivelse: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger.

CVE-2021-30706: Anonym, der arbejder med Trend Micros Zero Day Initiative, Jzhu, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 21. juli 2021

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30704: En anonym programmør

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af en skadelig besked kan medføre et DoS-angreb

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30715: National Cyber Security Centre (NCSC) i Storbritannien

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2021-30736: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et double free-problem er løst med forbedret hukommelseshåndtering

Beskrivelse: Et program kan muligvis køre vilkårlig kode med kernerettigheder.

CVE-2021-30703: En anonym programmør

Post tilføjet 21. juli 2021

LaunchServices

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst ved forbedret rensning af miljøet.

CVE-2021-30677: Ron Waisberg (@epsilan)

Sikkerhed

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse i ASN.1-dekoderen er løst ved at fjerne den sårbare kode.

CVE-2021-30737: xerub

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang fra 360 ATA

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et problem med iframe-elementer fra forskellige kilder blev løst med forbedret sporing af sikkerhedsoprindelser.

CVE-2021-30744: Dan Hite fra jsontop

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-21779: Marcin Towalski fra Cisco Talos

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30682: En anonym programmør og 1lastBr3ath

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30689: En anonym programmør

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30749: En anonym programmør og mipu94 fra SEFCOM lab, ASU., der arbejder med Trend Micros Zero Day Initiative

CVE-2021-30734: Jack Dates fra RET2 Systems, Inc. (@ret2systems), der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt websted kan muligvis have adgang til fortrolige porte på vilkårlige servere

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30720: David Schütz (@xdavidhu)

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2021-30663: En anonym programmør

Yderligere anerkendelser

ImageIO

Vi vil gerne takke Jzhu, der arbejder med Trend Micros Zero Day Initiative, og en anonym programmør for hjælpen.

WebKit

Vi vil gerne takke Chris Salls (@salls) fra Makai Security for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: