Informacije o sigurnosnom sadržaju sustava tvOS 15.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 15.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 15.1
Audio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne aplikacije mogle bi si povećati ovlasti
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30907: Zweig (Kunlun Lab)
ColorSync
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike moglo bi doći do izvršavanja proizvoljnog koda
Opis: u obradi ICC profila pojavio se problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30917: Alexandru-Vlad Niculae i Mateusz Jurczyk (Google Project Zero)
Continuity Camera
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s nekontroliranim nizom oblika riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30903: Gongyu Ma (Sveučilište Hangzhou Dianzi)
CoreAudio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerno stvorene datoteke mogli bi se otkriti korisnički podaci
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)
CoreGraphics
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne PDF datoteke moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30919
FileProvider
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2021-31007: Csaba Fitzl (@theevilbit) (Offensive Security)
FileProvider
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: raspakiravanjem zlonamjerne arhive moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.
CVE-2021-30881: Simon Huang (@HuangShaomang) i pjf (IceSword Lab, Qihoo 360)
Game Center
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija mogla bi pristupiti podacima o korisnikovim kontaktima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30895: Denis Tokarev (@illusionofcha0s)
Game Center
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija mogla bi čitati korisnikove podatke o igranju igre
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30896: Denis Tokarev (@illusionofcha0s)
iCloud
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30906: Cees Elzinga
Image Processing
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30894: Pan ZhenPeng (@Peterpan0927) (Alibaba Security Pandora Lab)
IOMobileFrameBuffer
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30883: anonimni istraživač
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: udaljeni napadač mogao bi izazvati neočekivano ponovno pokretanje uređaja
Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.
CVE-2021-30924: Elaman Iskakov (@darling_x0r) (Effective) i Alexey Katkov (@watman27)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30886: @0xalsr
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30909: Zweig (Kunlun Lab)
Model I/O
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerno stvorene datoteke mogli bi se otkriti korisnički podaci
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30910: Mickey Jin (@patch1t) (Trend Micro)
UIKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: osobe s fizičkim pristupom uređaju mogle bi otkriti karakteristike korisnikove lozinke u polju za unos sigurnog teksta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30915: Kostas Angelopoulos
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2021-31008
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja mogao bi se potaknuti neočekivani nenametnuti pravilnik o sigurnosti sadržaja
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30887: Narendra Bhati ((@imnarendrabhati) Suma Soft Pvt. Ltd.)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerno web-mjesto koje koristi izvješća pravilnika o sigurnosti sadržaja moglo bi propustiti informacije putem ponašanja preusmjeravanja
Opis: riješen je problem u vezi s propuštanjem podataka.
CVE-2021-30888: Prakash (@1lastBr3ath)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd) i Tsinghua wingtecher lab
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30890: anonimni istraživač
Dodatna zahvala
iCloud
Na pomoći zahvaljujemo Ryanu Pickrenu (ryanpickren.com).
Na pomoći zahvaljujemo Fabianu Isingu i Damianu Poddebniaku (Sveučilište primijenjenih znanosti u Münsteru).
WebKit
Željeli bismo zahvaliti Ivanu Fratricu u (Google Project Zero), Pavelu Gromadchuku i anonimnom istraživaču na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.