אודות תוכן האבטחה של tvOS 14.4

מסמך זה מתאר את תוכני האבטחה של tvOS 14.4.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

tvOS 14.4

הופץ ב-26 בינואר 2021

Analytics

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-1761: קיס אלזינחה

הערך נוסף ב-1 בפברואר 2021

APFS

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: משתמש מקומי עלול להצליח לקרוא קבצים שרירותיים

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2021-1797: תומס טמפלמן

הערך נוסף ב-1 בפברואר 2021

CoreAnimation

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: אפליקציה זדונית עלולה להפעיל קוד שרירותי שיוביל לפגיעה במידע של משתמש

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1760:‏ ‎@S0rryMybad מ-‎360 Vulcan Team

הערך נוסף ב-1 בפברואר 2021

CoreAudio

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2021-1747: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-1 בפברואר 2021

CoreGraphics

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-1776:‏ איוון פרטריץ' מ-Google Project Zero

הערך נוסף ב-1 בפברואר 2021

CoreMedia

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-1759: הו ג'ינג-יי (‎@hjy79425575) מ-Qihoo 360 CERT

הערך נוסף ב-1 בפברואר 2021

CoreText

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: גלישת מחסנית טופלה בעזרת אימות קלט משופר.

CVE-2021-1772: מיקי ג'ין ‎(@patch1t)‎ מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-1 בפברואר 2021, עודכן ב-16 במרץ 2021

CoreText

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-1792: מיקי ג'ין וג'ון-ג'י לו מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-1 בפברואר 2021, עודכן ב-16 במרץ 2021

Crash Reporter

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: משתמש מקומי עלול להצליח ליצור או לשנות קובצי מערכת

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1786: סאבה פיצל (‎@theevilbit) מ-Offensive Security

הערך נוסף ב-1 בפברואר 2021

Crash Reporter

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2021-1787: ג'יימס האצ'ינס

הערך נוסף ב-1 בפברואר 2021

FairPlay

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: יישום זדוני עלול לחשוף את זיכרון הליבה

תיאור: הייתה בעיה של קריאה מחוץ לתחום שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.

CVE-2021-1791: ג'ון-ג'י לו (‎@pwn0rz), צ'י סון ומיקי ג'ין מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-1 בפברואר 2021, עודכן ב-16 במרץ 2021

FontParser

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-1758: פיטר נגויאן מ-STAR Labs

הערך נוסף ב-1 בפברואר 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1818: שינגווי לין מ-Ant-financial Light-Year Security Lab

הערך נוסף ב-16 במרץ 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-1766: דני רוסו מ-Carve Systems

הערך נוסף ב-1 בפברואר 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-1785: שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-1 בפברואר 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2021-1744: שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-1 בפברואר 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1818: שינגווי לין מ-Ant-financial Light-Year Security Lab

הערך נוסף ב-1 בפברואר 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-1742: שינגווי לין מ-Ant Security Light-Year Lab

CVE-2021-1746: ג'ונגהון שין (‎@singi21a) מ-THEORI, מיקי ג'ין וצ'י סון מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro, שינגווי לין מ-Ant Security Light-Year Lab

CVE-2021-1754: שינגווי לין מ-Ant Security Light-Year Lab

CVE-2021-1774: שינגווי לין מ-Ant Security Light-Year Lab

CVE-2021-1777: שינגווי לין מ-Ant Security Light-Year Lab

CVE-2021-1793: שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-1 בפברואר 2021, עודכן ב-16 במרץ 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1773: שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-1 בפברואר 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-1741: שינגווי לין מ-Ant Security Light-Year Lab

CVE-2021-1743: מיקי ג'ין וג'ון-ג'י לו מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro, שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-1 בפברואר 2021, עודכן ב-16 במרץ 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית קריאה מחוץ לטווח הייתה קיימת ב-curl. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-1778: שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-1 בפברואר 2021

ImageIO

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית גישה טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2021-1783: שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-1 בפברואר 2021

IOSkywalkFamily

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-1757:‏ Proteas ופאן ז'ן-פנג (‎@Peterpan0927) מ-Alibaba Security

הערך נוסף ב-1 בפברואר 2021

iTunes Store

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד כתובת URL בעלת מבנה זדוני עלול להוביל לביצוע קוד javascript שרירותי

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2021-1748: ‏CodeColorist בעבודה עם Ant Security Light-Year Labs

הערך נוסף ב-1 בפברואר 2021, עודכן ב-16 במרץ 2021

ליבה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2021-1764: ‏@m00nbsd

הערך נוסף ב-1 בפברואר 2021, עודכן ב-16 במרץ 2021

ליבה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2021-1750:‏ ‎@0xalsr

הערך נוסף ב-1 בפברואר 2021

ליבה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2021-1782: חוקר אנונימי

Swift

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2021-1769:‏ CodeColorist מ-Ant-Financial Light-Year Labs

הערך נוסף ב-1 בפברואר 2021

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2021-1788: פרנסיסקו אלונסו (‎@revskills)

הערך נוסף ב-1 בפברואר 2021, עודכן ב-16 במרץ 2021

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.

CVE-2021-1789: ‏‎@S0rryMybad מצוות 360 Vulcan

הערך נוסף ב-1 בפברואר 2021

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: תוכן אינטרנט בעל מבנה זדוני עלול להפר את מדיניות השימוש ב'ארגז חול' של iframe

תיאור: בעיה זו טופלה באמצעות אכיפה משופרת של השימוש ב'ארגז חול' של iframe.

CVE-2021-1801: אליה שטיין מ-Confiant

הערך נוסף ב-1 בפברואר 2021

WebRTC

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: אתר זדוני עלול להצליח לגשת ליציאות מוגבלות בשרתים שרירותיים

תיאור: בעיה בניתוב מחדש של יציאות טופלה באמצעות אימות יציאות נוסף.

CVE-2021-1799: גרגורי וישנפולסקי ובן סרי מ-Armis Security, וסמי קמקאר

הערך נוסף ב-1 בפברואר 2021

תודות נוספות

iTunes Store

אנחנו מבקשים להודות ל-CodeColorist מ-Ant-Financial Light-Year Labs על הסיוע.

הערך נוסף ב-1 בפברואר 2021

ליבה

אנחנו מבקשים להודות לג'ון-ג'י לו (‎@pwn0rz), מיקי ג'ין וג'סי צ'אנג מ-Trend Micro על הסיוע.

הערך נוסף ב-1 בפברואר 2021

libpthread

אנחנו מבקשים להודות ל-CodeColorist מ-Ant-Financial Light-Year Labs על הסיוע.

הערך נוסף ב-1 בפברואר 2021

הדגמה בחנות

אנחנו מבקשים להודות ל-‎@08Tc3wBB על הסיוע.

הערך נוסף ב-1 בפברואר 2021

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: