Informacije o sigurnosnom sadržaju sustava tvOS 14.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 14.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 14.5

Objavljeno 26. travnja 2021.

AppleMobileFileIntegrity

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna bi aplikacije mogla zaobići postavke privatnosti

Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.

CVE-2021-1849: Siguza

Assets

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni korisnik mogao bi stvoriti ili izmijeniti datoteke za koje su potrebne ovlasti

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-1836: anonimni istraživač

Audio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)

CFNetwork

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1857: anonimni istraživač

CoreAudio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne audiodatoteke može doći do otkrivanja ograničene memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: neka bi zlonamjerne aplikacija mogla čitati ograničenu memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)

CoreText

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)

FontParser

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1881: anonimni istraživač, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) i Hou JingYi (@hjy79425575) (Qihoo 360)

Foundation

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: neka bi aplikacija mogla dobiti veće ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna bi aplikacija mogla steći korijenske ovlasti

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2021-1813: Cees Elzinga

Heimdal

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obrada zlonamjernih poruka poslužitelja može dovesti do oštećenja skupa

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1885: CFF (Topsec Alpha Team)

ImageIO

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30653: Ye Zhang (Baidu Security)

CVE-2021-1843: Ye Zhang (Baidu Security)

ImageIO

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1858: Mickey Jin (Trend Micro)

iTunes Store

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: napadač koji koristi JavaScript mogao bi pokrenuti proizvoljni kod

Opis: problem s korištenjem nakon oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1860: @0xalsr

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2021-1816: Tielei Wang (Pangu Lab)

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1851: @0xalsr

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: može se dogoditi da kopirane datoteke nemaju očekivane datotečne dozvole

Opis: problem je riješen poboljšanjem logičkog procesa dozvola.

CVE-2021-1832: anonimni istraživač

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30660: Alex Plaskett

libxpc

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna bi aplikacija mogla steći korijenske ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2021-30652: James Hutchins

libxslt

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obrada zlonamjernih datoteka može dovesti do oštećenja skupa

Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1875: otkrio OSS-Fuzz

MobileInstallation

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-1822: Bruno Virlet (The Grizzly Labs)

Preferences

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2021-1815: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))

CVE-2021-1739: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))

CVE-2021-1740: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))

Tailspin

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1868: Tim Michaud (Zoom Communications)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2021-1844: Clément Lecigne (Googleova grupa za analizu prijetnji), Alison Huffman (Microsoftovo istraživanje o ranjivosti preglednika)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1817: anonimni istraživač

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-1826: anonimni istraživač

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1820: anonimni istraživač

WebKit Storage

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda. Apple zna za izvješće o potencijalnom aktivnom korištenju ovog problema.

Opis: problem s korištenjem nakon oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30661: yangkang (@dnpushme) (360 ATA)

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 04. svibnja 2021.