A tvOS 14.6 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 14.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 14.6

Kiadási dátum: 2021. május 24.

Audio

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30707: hjy79425575 a Trend Micro Zero Day Initiative kezdeményezés keretében

Audio

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30685: Mickey Jin (@patch1t), Trend Micro

CoreAudio

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30686: Mickey Jin (Trend Micro)

CoreText

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát

Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-30733: Sunglin (Knownsec 404)

Bejegyzés hozzáadva 2021. július 21.

Crash Reporter

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30727: Cees Elzinga

CVMS

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30724: Mickey Jin (@patch1t), Trend Micro

FontParser

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-30771: Mickey Jin (@patch1t, Trend Micro), CFF (Topsec Alpha Team)

A bejegyzés hozzáadva: 2022. január 19.

FontParser

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát

Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. július 21.

Heimdal

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást idézhettek elő, illetve esetlegesen felfedhették a memória tartalmát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

ImageIO

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30687: Hou JingYi (@hjy79425575), Qihoo 360

ImageIO

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30700: Ye Zhang (@co0py_Cat), Baidu Security

ImageIO

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30701: Mickey Jin (@patch1t), Trend Micro és Ye Zhang, Baidu Security

ImageIO

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott ASTC-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30705: Ye Zhang (Baidu Security)

ImageIO

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

Leírás: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

CVE-2021-30706: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, Jzhu, a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. július 21.

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30704: anonim kutató

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30715: National Cyber Security Centre (NCSC, Egyesült Királyság)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2021-30736: Ian Beer (Google Project Zero)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát

Leírás: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

CVE-2021-30703: anonim kutató

Bejegyzés hozzáadva 2021. július 21.

LaunchServices

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.

CVE-2021-30677: Ron Waisberg (@epsilan)

Security

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: A sérülékeny kód eltávolításával megoldottunk egy memóriasérüléssel kapcsolatos problémát, amely az ASN.1 dekódert érintette.

CVE-2021-30737: xerub

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang (360 ATA)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: A biztonsági eredet fejlettebb követése megoldotta az iFrame-elemek származásával kapcsolatos problémát.

CVE-2021-30744: Dan Hite (jsontop)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-21779: Marcin Towalski (Cisco Talos)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30682: anonim kutató és 1lastBr3ath

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30689: anonim kutató

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2021-30749: anonim kutató és mipu94 a SEFCOM-laborból (ASU). a Trend Micro Zero Day Initiative kezdeményezés keretében

CVE-2021-30734: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy a rosszindulatú webhelyek hozzá tudtak férni tetszőleges kiszolgálók korlátozott portjaihoz.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30720: David Schütz (@xdavidhu)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2021-30663: anonim kutató

További köszönetnyilvánítás

ImageIO

Köszönjük a Trend Micro Zero Day Initiative kezdeményezés keretei között eljáró Jzhu és egy anonim kutató segítségét.

WebKit

Szeretnénk megköszönni Chris Salls (@salls), a Makai Security munkatársa segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: