Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 15.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 15.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

tvOS 15.2

Κυκλοφόρησε στις 13 Δεκεμβρίου 2021

Audio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30960: JunDong Xie του Ant Security Light-Year Lab

CFNetwork Proxies

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η κίνηση δεδομένων του χρήστη μπορεί να διαρρεύσει απρόσμενα σε έναν διακομιστή μεσολάβησης παρά τις διαμορφώσεις PAC

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30966: Michal Rajcan του Jamf, Matt Vlasach του Jamf (Wandera)

ColorSync

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης στην επεξεργασία των προφίλ ICC αντιμετωπίστηκε με βελτιωμένη επαλήθευση δεδομένων εισαγωγής.

CVE-2021-30926: Jeremy Brown

CVE-2021-30942: Mateusz Jurczyk του Google Project Zero

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30962: JunDong Xie του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30957: JunDong Xie του Ant Security Light-Year Lab

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30958: JunDong Xie του Ant Security Light-Year Lab

Crash Reporter

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30945: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

FontParser

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-31013: Daniel Lim Wee Soong του STAR Labs

Η καταχώριση προστέθηκε στις 7 Ιουνίου 2023

Game Center

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει δυνατότητα πρόσβασης σε ευαίσθητα στοιχεία επικοινωνίας

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2021-31000: Denis Tokarev (@illusionofcha0s)

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30939: Mickey Jin (@patch1t) της Trend Micro, Jaewon Min της Cisco Talos, Rui Yang και Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

Kernel

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30916: Zweig του Kunlun Lab

Kernel

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30937: Sergei Glazunov του Google Project Zero

Kernel

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30927: Xinru Chi του Pangu Lab

CVE-2021-30980: Xinru Chi του Pangu Lab

Kernel

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30949: Ian Beer του Google Project Zero

Kernel

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30993: OSS-Fuzz, Ned Williamson του Google Project Zero

Kernel

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2021-30955: Zweig του Kunlun Lab

Preferences

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2021-30995: Mickey Jin (@patch1t) της Trend Micro, Mickey Jin (@patch1t)

Sandbox

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα επαλήθευσης σχετιζόμενο με τη συμπεριφορά των σκληρών συνδέσμων αντιμετωπίστηκε με βελτιωμένους περιορισμούς του sandbox.

CVE-2021-30968: Csaba Fitzl (@theevilbit) της Offensive Security

Sandbox

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση στα αρχεία ενός χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2021-30947: Csaba Fitzl (@theevilbit) της Offensive Security

SQLite

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε δεδομένα άλλων εφαρμογών με την ενεργοποίηση πρόσθετης καταγραφής

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30944: Wojciech Reguła (@_r3ggi) της SecuRing

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30934: Dani Biro

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30936: Chijin Zhou της ShuiMuYuLin Ltd και του Tsinghua wingtecher lab

CVE-2021-30951: Pangu μέσω Tianfu Cup

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2021-30952: @18f και @jq0904 του εργαστηρίου weibin της DBAPP Security μέσω Tianfu Cup

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2021-30984: Kunlun Lab μέσω Tianfu Cup

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30953: Jianjun Dai του 360 Vulnerability Research Institute μέσω Tianfu Cup

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30954: Kunlun Lab μέσω Tianfu Cup

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

Επιπλέον αναγνώριση

Bluetooth

Θα θέλαμε να ευχαριστήσουμε τον Haram Park του Korea University για τη βοήθειά του.

ColorSync

Θα θέλαμε να ευχαριστήσουμε τον Mateusz Jurczyk του Google Project Zero για τη βοήθειά του.

Contacts

Θα θέλαμε να ευχαριστήσουμε τον Minchan Park (03stin) για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Amit Klein του Center for Research in Applied Cryptography and Cyber Security του Bar-Ilan University για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Peter Snyder της Brave και τον Soroush Karami για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: