Informacije o sigurnosnom sadržaju sustava tvOS 14.6
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 14.6.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 14.6
Audio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30707: hjy79425575 i inicijativa Zero Day (Trend Micro)
Audio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: parsiranjem zlonamjerne audiodatoteke moglo je doći do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30685: Mickey Jin (@patch1t) (Trend Micro)
CoreAudio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernih audiodatoteka moglo je doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30686: Mickey Jin (Trend Micro)
CoreText
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjernog fonta mogla se otkriti procesna memorija.
CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30733: Sunglin (Knownsec 404)
Crash Reporter
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne aplikacije mogle su izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30727: Cees Elzinga
CVMS
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
FontParser
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30771: Mickey Jin (@patch1t) (Trend Micro), CFF (Topsec Alpha Team)
FontParser
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjernog fonta mogla se otkriti procesna memorija.
CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)
Heimdal
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija mogla je uzrokovati uskraćivanje usluge ili otkriti sadržaj memorije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike moglo je doći do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike moglo je doći do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30700: Ye Zhang(@co0py_Cat) (Baidu Security)
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30701: Mickey Jin (@patch1t) (Trend Micro) i Ye Zhang (Baidu Security)
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne ASTC datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30705: Ye Zhang (Baidu Security)
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: taj je problem riješen poboljšanim provjerama
Opis: obradom zlonamjerne slike moglo je doći do otkrivanja korisničkih podataka.
CVE-2021-30706: anonimni istraživač i inicijativa Zero Day (Trend Micro), Jzhu i inicijativa Zero Day (Trend Micro)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30704: anonimni istraživač
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30715: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2021-30736: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: problem dvostrukog oslobađanja memorije riješen je poboljšanim upravljanjem memorijom
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod.
CVE-2021-30703: anonimni istraživač
LaunchServices
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne su aplikacije mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2021-30677: Ron Waisberg (@epsilan)
Security
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog certifikata moglo je doći do pokretanja proizvoljnog koda
Opis: problem s oštećenjem memorije u dekoderu ASN.1 riješen je uklanjanjem koda sa slabim točkama.
CVE-2021-30737: xerub
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang (360 ATA)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem podrijetla elemenata iframe okvira iz više izvora riješen je poboljšanim praćenjem sigurnosnog podrijetla.
CVE-2021-30744: Dan Hite (jsontop)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-21779: Marcin Towalski (Cisco Talos)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne aplikacije mogle su otkriti osjetljive korisničke podatke
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30682: anonimni istraživač i 1lastBr3ath
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30689: anonimni istraživač
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2021-30749: anonimni istraživač i korisnik mipu94 (laboratorij SEFCOM, ASU) i inicijativa Zero Day (Trend Micro)
CVE-2021-30734: Jack Dates (RET2 Systems, Inc.) ((@ret2systems)) i inicijativa Zero Day (Trend Micro)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne web-stranice mogle su pristupiti ograničenim ulazima na proizvoljnim poslužiteljima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30720: David Schütz (@xdavidhu)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30663: anonimni istraživač
Dodatna zahvala
ImageIO
Na pomoći zahvaljujemo Jzhuu i inicijativi Zero Day (Trend Micro) te anonimnom istraživaču.
WebKit
Na pomoći zahvaljujemo Chrisu Sallsu (@salls) (Makai Security).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.