Informationen zum Sicherheitsinhalt von tvOS 14.6

In diesem Dokument wird der Sicherheitsinhalt von tvOS 14.6 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

tvOS 14.6

Veröffentlicht am 24. Mai 2021

Audio

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30707: hjy79425575 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Audio

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Analyse einer in böswilliger Absicht erstellten Audiodatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30685: Mickey Jin (@patch1t) von Trend Micro

CoreAudio

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30686: Mickey Jin von Trend Micro

CoreText

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen.

CVE-2021-30753: Xingwei Lin von Ant Security Light-Year Lab

CVE-2021-30733: Sunglin von Knownsec 404

Eintrag am 21. Juli 2021 hinzugefügt

Crash Reporter

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann unter Umständen geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30727: Cees Elzinga

CVMS

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30724: Mickey Jin (@patch1t) von Trend Micro

FontParser

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30771: Mickey Jin (@patch1t) von Trend Micro, CFF von Topsec Alpha Team

Eintrag am 19. Januar 2022 hinzugefügt

FontParser

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen.

CVE-2021-30755: Xingwei Lin von Ant Security Light-Year Lab

Eintrag am 21. Juli 2021 hinzugefügt

Heimdal

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Schadprogramm kann einen Denial-of-Service verursachen oder möglicherweise Speicherinhalte offenlegen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

ImageIO

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30687: Hou JingYi (@hjy79425575) von Qihoo 360

ImageIO

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30700: Ye Zhang (@co0py_Cat) von Baidu Security

ImageIO

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30701: Mickey Jin (@patch1t) von Trend Micro und Ye Zhang von Baidu Security

ImageIO

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten ASTC-Datei kann Speicherinhalte offenlegen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30705: Ye Zhang von Baidu Security

ImageIO

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

Beschreibung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.

CVE-2021-30706: Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 21. Juli 2021 hinzugefügt

Kernel

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30704: Ein anonymer Forscher

Kernel

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30715: Britisches National Cyber Security Centre (NCSC)

Kernel

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2021-30736: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Double-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

Beschreibung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

CVE-2021-30703: Ein anonymer Forscher

Eintrag am 21. Juli 2021 hinzugefügt

LaunchServices

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Umgebungsbereinigung behoben.

CVE-2021-30677: Ron Waisberg (@epsilan)

Security

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler im ASN.1-Decoder wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2021-30737: xerub

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30665: yangkang (@dnpushme), zerokeeper und bianliang von 360 ATA

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Ein ursprungsübergreifendes Problem mit Iframe-Elementen wurde behoben, indem die Nachverfolgung der Sicherheitsursprünge verbessert wurde.

CVE-2021-30744: Dan Hite von jsontop

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2021-21779: Marcin Towalski von Cisco Talos

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Schadprogramm kann vertrauliche Benutzerdaten offenlegen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2021-30682: Ein anonymer Forscher und 1lastBr3ath

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30689: Ein anonymer Forscher

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2021-30749: Ein anonymer Forscher und mipu94 von SEFCOM lab, ASU. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2021-30734: Jack Dates von RET2 Systems, Inc. (@ret2systems) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine in böswilliger Absicht erstellte Website kann über beliebige Server auf eingeschränkte Ports zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2021-30720: David Schütz (@xdavidhu)

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30663: Ein anonymer Forscher

Zusätzliche Danksagung

ImageIO

Wir möchten uns bei Jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und einem anonymen Forscher für die Unterstützung bedanken.

WebKit

Wir danken Chris Salls (@salls) von Makai Security für die Unterstützung.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: