Informacije o sigurnosnom sadržaju sustava tvOS 15.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 15.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 15.1

Objavljeno 25. listopada 2021.

Audio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerne aplikacije mogle bi si povećati ovlasti

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30907: Zweig (Kunlun Lab)

ColorSync

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike moglo bi doći do izvršavanja proizvoljnog koda

Opis: u obradi ICC profila pojavio se problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30917: Alexandru-Vlad Niculae i Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s nekontroliranim nizom oblika riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30903: Gongyu Ma (Sveučilište Hangzhou Dianzi)

Stavka dodana 25. svibnja 2022.

CoreAudio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerno stvorene datoteke mogli bi se otkriti korisnički podaci

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)

CoreGraphics

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne PDF datoteke moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30919

FileProvider

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2021-31007: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 31. ožujka 2022. i ažuriran 25. svibnja 2022.

FileProvider

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: raspakiravanjem zlonamjerne arhive moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2021-30881: Simon Huang (@HuangShaomang) i pjf (IceSword Lab, Qihoo 360)

Game Center

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi pristupiti podacima o korisnikovim kontaktima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Unos je ažuriran 25. svibnja 2022.

Game Center

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi čitati korisnikove podatke o igranju igre

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-30896: Denis Tokarev (@illusionofcha0s)

Unos je ažuriran 25. svibnja 2022.

iCloud

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30906: Cees Elzinga

Image Processing

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30894: Pan ZhenPeng (@Peterpan0927) (Alibaba Security Pandora Lab)

IOMobileFrameBuffer

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30883: anonimni istraživač

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač mogao bi izazvati neočekivano ponovno pokretanje uređaja

Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) (Effective) i Alexey Katkov (@watman27)

Unos je dodan 19. siječnja 2022.

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30886: @0xalsr

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30909: Zweig (Kunlun Lab)

Model I/O

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerno stvorene datoteke mogli bi se otkriti korisnički podaci

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30910: Mickey Jin (@patch1t) (Trend Micro)

UIKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: osobe s fizičkim pristupom uređaju mogle bi otkriti karakteristike korisnikove lozinke u polju za unos sigurnog teksta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2021-31008

Unos dodan 31. ožujka 2022.

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja mogao bi se potaknuti neočekivani nenametnuti pravilnik o sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-30887: Narendra Bhati ((@imnarendrabhati) Suma Soft Pvt. Ltd.)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerno web-mjesto koje koristi izvješća pravilnika o sigurnosti sadržaja moglo bi propustiti informacije putem ponašanja preusmjeravanja

Opis: riješen je problem u vezi s propuštanjem podataka.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd) i Tsinghua wingtecher lab

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30890: anonimni istraživač

Dodatna zahvala

iCloud

Na pomoći zahvaljujemo Ryanu Pickrenu (ryanpickren.com).

Mail

Na pomoći zahvaljujemo Fabianu Isingu i Damianu Poddebniaku (Sveučilište primijenjenih znanosti u Münsteru).

WebKit

Željeli bismo zahvaliti Ivanu Fratricu u (Google Project Zero), Pavelu Gromadchuku i anonimnom istraživaču na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 02. lipnja 2022.

Korisno?