Om sikkerhedsindholdet i tvOS 15.1

I dette dokument beskrives sikkerhedsindholdet i tvOS 15.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 15.1

Udgivet 25. oktober 2021

Audio

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2021-30907: Zweig fra Kunlun Lab

ColorSync

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af ICC-profiler. Problemet er løst ved forbedret inputvalidering.

CVE-2021-30917: Alexandru-Vlad Niculae og Mateusz Jurczyk fra Google Project Zero

Continuity Camera

Fås til: Apple TV 4K og Apple TV HD

Effekt: En lokal hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med en streng med ukontrolleret format er løst med forbedret inputvalidering.

CVE-2021-30903: Gongyu Ma fra Hangzhou Dianzi University

Post tilføjet 25. maj 2022

CoreAudio

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt arkiv kan afsløre brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30905: Mickey Jin (@patch1t) fra Trend Micro

CoreGraphics

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt PDF-dokument kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30919

FileProvider

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.

CVE-2021-31007: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 31. marts 2022, opdateret 25. maj 2022

FileProvider

Fås til: Apple TV 4K og Apple TV HD

Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med godkendelse af input er løst med forbedret hukommelsesbehandling.

CVE-2021-30881: Simon Huang (@HuangShaomang) og pjf fra IceSword Lab of Qihoo 360

Game Center

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis få adgang til oplysninger om en brugers kontakter

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Post opdateret 25. maj 2022

Game Center

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis læse en brugers spildata

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30896: Denis Tokarev (@illusionofcha0s)

Post opdateret 25. maj 2022

iCloud

Fås til: Apple TV 4K og Apple TV HD

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30906: Cees Elzinga

Image Processing

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2021-30894: Pan ZhenPeng (@Peterpan0927) fra Alibaba Security Pandora Lab

IOMobileFrameBuffer

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30883: En anonym programmør

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: En ekstern hacker kan forårsage pludselig genstart af en enhed

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret statushåndtering.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) fra Effective og Alexey Katkov (@watman27)

Post tilføjet 19. januar 2022

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-30886: @0xalsr

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30909: Zweig fra Kunlun Lab

Model I/O

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt arkiv kan afsløre brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30910: Mickey Jin (@patch1t) fra Trend Micro

UIKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: En person med fysisk adgang til en enhed kan muligvis fastslå karakteristika ved en brugers adgangskode i et sikkert tekstindtastningsfelt

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2021-31008

Post tilføjet 31. marts 2022

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til uventet overtrædelse af sikkerhedspolitikken for indhold

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) fra Suma Soft Pvt. Ltd.

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt website, der benytter rapporter om sikkerhedspolitik for indhold, kan muligvis lække oplysninger via omdirigerende adfærd

Beskrivelse: Et problem med lækage af oplysninger blev håndteret.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2021-30889: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30890: en anonym programmør

Yderligere anerkendelser

iCloud

Vi vil gerne takke Ryan Pickren (ryanpickren.com) for hjælpen.

Mail

Vi vil gerne takke Fabian Ising og Damian Poddebniak fra Münster University of Applied Sciences for hjælpen.

WebKit

Vi vil gerne takke Ivan Fratric fra Google Project Zero, Pavel Gromadchuk og en anonym programmør for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: