Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 15

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 15.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

tvOS 15

Accessory Manager

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30837: Siddharth Aeri (@b1n4r1b01)

Apple Neural Engine

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30838: proteas wang

bootp

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC του WiFi

Περιγραφή: Ένα πρόβλημα απορρήτου χρήστη αντιμετωπίστηκε με αφαίρεση της διεύθυνσης MAC μετάδοσης.

CVE-2021-30866: Fabien Duchêne of UCLouvain (Βέλγιο)

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30834: JunDong Xie του Ant Security Light-Year Lab

CoreGraphics

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30928: Mickey Jin (@patch1t) της Trend Micro

FontParser

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30831: Xingwei Lin του Ant Security Light-Year Lab

FontParser

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου dfont μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30840: Xingwei Lin του Ant Security Light-Year Lab

FontParser

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου dfont μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30841: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-30842: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-30843: Xingwei Lin του Ant Security Light-Year Lab

Foundation

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30852: Yinyi Wu (@3ndy1) του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30814: hjy79425575

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30835: Ye Zhang της Baidu Security

CVE-2021-30847: Mike Zhang του Pangu Lab

Kernel

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30857: Manish Bhatt της Red Team X @Meta, Zweig του Kunlun Lab

libexpat

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την ενημέρωση του expat στην έκδοση 2.4.1.

CVE-2013-0340: ένας ανώνυμος ερευνητής

Preferences

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2021-30855: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Preferences

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30854: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Sandbox

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2021-30850: ένας ανώνυμος ερευνητής

Sandbox

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30808: Csaba Fitzl (@theevilbit) της Offensive Security

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα στην προδιαγραφή για το API χρονισμού πόρων. Η προδιαγραφή ενημερώθηκε και εφαρμόστηκε η ενημερωμένη προδιαγραφή.

CVE-2021-30897: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: Apple TV 4K και Apple TV

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να αποκαλύψει το ιστορικό περιήγησης ενός χρήστη

Περιγραφή: Το πρόβλημα επιλύθηκε με επιπλέον περιορισμούς στη σύνθεση CSS.

CVE-2021-30884: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-30818: Amar Menezes (@amarekano) του Zon8Research

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να παρακάμψει το πρωτόκολλο HSTS

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30823: David Gullasch της Recurity Labs

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30836: Peter Nguyen Vu Hoang του STAR Labs

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30809: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30846: Sergei Glazunov του Google Project Zero

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30849: Sergei Glazunov του Google Project Zero

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30851: Samuel Groß του Google Project Zero

Wi-Fi

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας που βρίσκεται σε κοντινή απόσταση ενδέχεται να έχει τη δυνατότητα να εξαναγκάσει έναν χρήστη να συνδεθεί σε ένα κακόβουλο δίκτυο Wi-Fi κατά τη διάρκεια διαμόρφωσης συσκευής

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2021-30810: Peter Scott

Επιπλέον αναγνώριση

Assets

Θα θέλαμε να ευχαριστήσουμε τον Cees Elzinga για τη βοήθειά του.

bootp

Θα θέλαμε να ευχαριστήσουμε τον Alexander Burke της alexburke.ca για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Joshua Baums της Informatik Baums για τη βοήθειά του.

UIKit

Θα θέλαμε να ευχαριστήσουμε τον Jason Rendel της Diligent για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή και τον Nikhil Mittal (@c0d3G33k) για τη βοήθειά τους.

Wi-Fi

Θα θέλαμε να ευχαριστήσουμε τον Peter Scott για τη βοήθειά του.