A tvOS 15.1 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 15.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 15.1

Kiadási dátum: 2021. október 25.

Audio

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.

CVE-2021-30907: Zweig (Kunlun Lab)

ColorSync

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Memóriasérülési hiba állt fenn az ICC-profilok kezelési módjában. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2021-30917: Alexandru-Vlad Niculae és Mateusz Jurczyk (Google Project Zero)

Continuity Camera

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A helyi támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy nem szabályozott formázó karakterlánccal kapcsolatos problémát.

CVE-2021-30903: Gongyu Ma (Hangzhou Dianzi University)

Bejegyzés hozzáadva: 2022. május 25.

CoreAudio

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30905: Mickey Jin (@patch1t; Trend Micro)

CoreGraphics

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-30919

FileProvider

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2021-31007: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2022. március 31., frissítve: 2022. május 25.

FileProvider

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2021-30881: Simon Huang (@HuangShaomang) és pjf (IceSword Lab; Qihoo 360)

Game Center

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Bejegyzés frissítve: 2022. május 25.

Game Center

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások olvasni tudták a felhasználó játékmenetekkel kapcsolatos adatait.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30896: Denis Tokarev (@illusionofcha0s)

Bejegyzés frissítve: 2022. május 25.

iCloud

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30906: Cees Elzinga

Image Processing

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30894: Pan ZhenPeng (@Peterpan0927; Alibaba Security Pandora Lab)

IOMobileFrameBuffer

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30883: anonim kutató

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Egy távoli támadó a készülék váratlan újraindítását tudta kiváltani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2021-30924: Elaman Iskakov (@darling_x0r; Effective) és Alexey Katkov (@watman27)

Bejegyzés hozzáadva: 2022. január 19.

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30886: @0xalsr

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30909: Zweig (Kunlun Lab)

Model I/O

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30910: Mickey Jin (@patch1t; Trend Micro)

UIKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az eszközhöz fizikai hozzáféréssel rendelkező személy meg tudta határozni a felhasználó jelszavának jellemzőit egy biztonságos szövegbeviteli mezőben.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30915: Kostas Angelopoulos

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2021-31008

Bejegyzés hozzáadva: 2022. március 31.

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor váratlanul nem került sor a tartalombiztonsági irányelvek foganatosítására.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati; Suma Soft Pvt. Ltd.)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A Tartalombiztonsági szabályzat jelentéseit használó, rosszindulatú webhelyek információt szivárogtathattak ki az átirányítási viselkedés révén.

Leírás: Elhárítottunk egy információszivárgási problémát.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd. és Tsinghua wingtecher lab)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30890: anonim kutató

További köszönetnyilvánítás

iCloud

Köszönjük Ryan Pickren (ryanpickren.com) segítségét.

Mail

Köszönjük Fabian Ising és Damian Poddebniak (Münster University of Applied Sciences) segítségét.

WebKit

Köszönjük Ivan Fratric (Google Project Zero), Pavel Gromadchuk és egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: