Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 14.4

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 14.4.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

tvOS 14.4

Ανάλυση

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1761: Cees Elzinga

APFS

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εκτελέσει ανάγνωση αυθαίρετων αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2021-1797: Thomas Tempelmann

CoreAnimation

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή θα μπορούσε να εκτελέσει αυθαίρετο κώδικα οδηγώντας σε παραβίαση των πληροφοριών χρήστη

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1760: @S0rryMybad της ομάδας 360 Vulcan Team

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1747: JunDong Xie του Ant Security Light-Year Lab

CoreGraphics

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1776: Ivan Fratric του Google Project Zero

CoreMedia

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1759: Hou JingYi (@hjy79425575) της Qihoo 360 CERT

CoreText

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης στοίβας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1772: Mickey Jin (@patch1t) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreText

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1792: Mickey Jin και Junzhi Lu της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Εργαλείο αναφοράς σφαλμάτων

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να δημιουργήσει ή να τροποποιήσει αρχεία συστήματος

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1786: Csaba Fitzl (@theevilbit) της Offensive Security

Εργαλείο αναφοράς σφαλμάτων

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2021-1787: James Hutchins

FairPlay

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun και Mickey Jin της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

FontParser

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1758: Peter Nguyen του STAR Labs

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1818: Xingwei Lin του Ant-financial Light-Year Security Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1766: Danny Rosseau της Carve Systems

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1785: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1744: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1818: Xingwei Lin του Ant-financial Light-Year Security Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1742: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin (@singi21a) της THEORI, Mickey Jin και Qi Sun της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1773: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1741: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin και Junzhi Lu της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στο curl. Αυτό το ζήτημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1778: Xingwei Lin του Ant Security Light-Year Lab

ImageIO

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένη διαχείριση της μνήμης.

CVE-2021-1783: Xingwei Lin του Ant Security Light-Year Lab

IOSkywalkFamily

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1757: Proteas και Pan ZhenPeng (@Peterpan0927) της Alibaba Security

iTunes Store

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης διεύθυνσης URL ενδέχεται να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα javascript

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2021-1748: CodeColorist σε συνεργασία με το Ant Security Light-Year Labs

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-1764: @m00nbsd

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2021-1750: @0xalsr

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-1782: ένας ανώνυμος ερευνητής

Swift

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1769: CodeColorist του Ant-Financial Light-Year Labs

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-1788: Francisco Alonso (@revskills)

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-1789: @S0rryMybad της ομάδας 360 Vulcan Team

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Το κακόβουλο περιεχόμενο ιστού ενδέχεται να παραβιάζει την πολιτική sandbox iframe

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επιβολή sandbox iframe.

CVE-2021-1801: Eliya Stein της Confiant

WebRTC

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να έχει δυνατότητα πρόσβασης σε περιορισμένες θύρες σε τυχαίους διακομιστές

Περιγραφή: Ένα πρόβλημα ανακατεύθυνσης θύρας αντιμετωπίστηκε με επιπλέον επικύρωση θύρας.

CVE-2021-1799: Gregory Vishnepolsky και Ben Seri της Armis Security και Samy Kamkar

Επιπλέον αναγνώριση

iTunes Store

Θα θέλαμε να ευχαριστήσουμε τον CodeColorist του Ant-Financial Light-Year Labs για τη βοήθειά του.

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τους Junzhi Lu (@pwn0rz), Mickey Jin και Jesse Change της Trend Micro για τη βοήθειά τους.

libpthread

Θα θέλαμε να ευχαριστήσουμε τον CodeColorist του Ant-Financial Light-Year Labs για τη βοήθειά του.

Επίδειξη του Store

Θα θέλαμε να ευχαριστήσουμε τον @08Tc3wBB για τη βοήθειά του.