Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
tvOS 14.7
Dirilis pada 19 Juli 2021
Analytics
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang lokal mungkin dapat mengakses data analisis
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Entri ditambahkan pada 25 Mei 2022
App Store
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu
Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-31006: Csaba Fitzl (@theevilbit) dari Offensive Security
Entri ditambahkan pada 25 Mei 2022
Audio
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30781: tr3e
AVEVideoEncoder
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2021-30748: George Nosenko
Entri ditambahkan pada 19 Januari 2022
CoreAudio
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30775: JunDong Xie dari Ant Security Light-Year Lab
CoreAudio
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memutar file audio yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30776: JunDong Xie dari Ant Security Light-Year Lab
CoreText
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30789: Mickey Jin (@patch1t) dari Trend Micro, Sunglin dari tim Knownsec 404
Crash Reporter
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30774: Yizhuo Wang dari Group of Software Security In Progress (G.O.S.S.I.P) di Shanghai Jiao Tong University
CVMS
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30780: Tim Michaud (@TimGMichaud) dari Zoom Video Communications
dyld
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2021-30760: Sunglin dari tim Knownsec 404
FontParser
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses file tiff perusak yang berbahaya dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30788: tr3e yang bekerja sama dengan Zero Day Initiative dari Trend Micro
FontParser
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Tumpukan kelebihan telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30759: hjy79425575 yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Identity Service
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya mungkin dapat melewati pemeriksaan penandatanganan kode
Deskripsi: Masalah dalam validasi tanda tangan kode telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30773: Linus Henze (pinauten.de)
Image Processing
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2021-30802: Matthew Denton dari Google Chrome Security
ImageIO
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) dari Baidu Security
ImageIO
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30785: CFF dari Topsec Alpha Team, Mickey Jin (@patch1t) dari Trend Micro
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang berbahaya dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-3518
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2021-30758: Christoph Guttandin dari Media Codings
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2021-30795: Sergei Glazunov dari Google Project Zero
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30797: Ivan Fratric dari Google Project Zero
Penghargaan tambahan
Assets
Kami ingin mengucapkan terima kasih kepada Cees Elzinga atas bantuannya.
CoreText
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) dari Trend Micro atas bantuannya.
Power Management
Kami ingin mengucapkan terima kasih kepada Pan ZhenPeng(@Peterpan0927) dari Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), dan Lisandro Ubiedo (@_lubiedo) dari Stratosphere Lab atas bantuannya.
Entri ditambahkan pada 07 Juni 2023
Safari
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
Sandbox
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.
sysdiagnose
Kami ingin mengucapkan terima kasih kepada Carter Jones(linkedin.com/in/carterjones/) dan Tim Michaud(@TimGMichaud) dari Zoom Video Communications atas bantuannya.
Entri ditambahkan pada 25 Mei 2022