Informationen zum Sicherheitsinhalt von tvOS 14.6
In diesem Dokument wird der Sicherheitsinhalt von tvOS 14.6 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
tvOS 14.6
Audio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30707: hjy79425575 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Audio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Analyse einer in böswilliger Absicht erstellten Audiodatei kann zur Preisgabe von Benutzerinformationen führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30685: Mickey Jin (@patch1t) von Trend Micro
CoreAudio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2021-30686: Mickey Jin von Trend Micro
CoreText
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen.
CVE-2021-30753: Xingwei Lin von Ant Security Light-Year Lab
CVE-2021-30733: Sunglin von Knownsec 404
Crash Reporter
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann unter Umständen geschützte Bereiche des Dateisystems ändern.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30727: Cees Elzinga
CVMS
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30724: Mickey Jin (@patch1t) von Trend Micro
FontParser
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2021-30771: Mickey Jin (@patch1t) von Trend Micro, CFF von Topsec Alpha Team
FontParser
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen.
CVE-2021-30755: Xingwei Lin von Ant Security Light-Year Lab
Heimdal
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Schadprogramm kann einen Denial-of-Service verursachen oder möglicherweise Speicherinhalte offenlegen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2021-30687: Hou JingYi (@hjy79425575) von Qihoo 360
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30700: Ye Zhang (@co0py_Cat) von Baidu Security
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30701: Mickey Jin (@patch1t) von Trend Micro und Ye Zhang von Baidu Security
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten ASTC-Datei kann Speicherinhalte offenlegen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30705: Ye Zhang von Baidu Security
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
Beschreibung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.
CVE-2021-30706: Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30704: Ein anonymer Forscher
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30715: Britisches National Cyber Security Centre (NCSC)
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2021-30736: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Double-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
Beschreibung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
CVE-2021-30703: Ein anonymer Forscher
LaunchServices
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Umgebungsbereinigung behoben.
CVE-2021-30677: Ron Waisberg (@epsilan)
Security
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler im ASN.1-Decoder wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2021-30737: xerub
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30665: yangkang (@dnpushme), zerokeeper und bianliang von 360 ATA
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Ein ursprungsübergreifendes Problem mit Iframe-Elementen wurde behoben, indem die Nachverfolgung der Sicherheitsursprünge verbessert wurde.
CVE-2021-30744: Dan Hite von jsontop
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-21779: Marcin Towalski von Cisco Talos
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein Schadprogramm kann vertrauliche Benutzerdaten offenlegen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2021-30682: Ein anonymer Forscher und 1lastBr3ath
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2021-30689: Ein anonymer Forscher
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30749: Ein anonymer Forscher und mipu94 von SEFCOM lab, ASU. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2021-30734: Jack Dates von RET2 Systems, Inc. (@ret2systems) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine in böswilliger Absicht erstellte Website kann über beliebige Server auf eingeschränkte Ports zugreifen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2021-30720: David Schütz (@xdavidhu)
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2021-30663: Ein anonymer Forscher
Zusätzliche Danksagung
ImageIO
Wir möchten uns bei Jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und einem anonymen Forscher für die Unterstützung bedanken.
WebKit
Wir danken Chris Salls (@salls) von Makai Security für die Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.