Informazioni sui contenuti di sicurezza di tvOS 15.2

In questo documento vengono descritti i contenuti di sicurezza di tvOS 15.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 15.2

Data di rilascio: 13 dicembre 2021

Audio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30960: JunDong Xie di Ant Security Light-Year Lab

CFNetwork Proxies

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: il traffico utente potrebbe essere divulgato in modo imprevisto a un server proxy nonostante le configurazioni PAC.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30966: Michal Rajcan di Jamf, Matt Vlasach di Jamf (Wandera)

ColorSync

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30926: Jeremy Brown

CVE-2021-30942: Mateusz Jurczyk di Google Project Zero

CoreAudio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30962: JunDong Xie di Ant Security Light-Year Lab

Voce aggiunta il 25 maggio 2022

CoreAudio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30957: JunDong Xie di Ant Security Light-Year Lab

Voce aggiornata il 25 maggio 2022

CoreAudio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: la riproduzione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30958: JunDong Xie di Ant Security Light-Year Lab

Crash Reporter

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30945: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-31013: Daniel Lim Wee Soong di STAR Labs

Voce aggiunta il 7 giugno 2023

Game Center

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di leggere informazioni sensibili sul contatto.

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2021-31000: Denis Tokarev (@illusionofcha0s)

Voce aggiunta il 25 maggio 2022

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30939: Mickey Jin (@patch1t) di Trend Micro, Jaewon Min di Cisco Talos, Rui Yang e Xingwei Lin di Ant Security Light-Year Lab

Voce aggiornata il 25 maggio 2022

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30916: Zweig di Kunlun Lab

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.

CVE-2021-30937: Sergei Glazunov di Google Project Zero

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30927: Xinru Chi di Pangu Lab

CVE-2021-30980: Xinru Chi di Pangu Lab

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30949: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30993: OSS-Fuzz, Ned Williamson di Google Project Zero

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2021-30955: Zweig di Kunlun Lab

Preferences

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2021-30995: Mickey Jin (@patch1t) di Trend Micro, Mickey Jin (@patch1t)

Sandbox

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.

Descrizione: un problema di convalida relativo al comportamento dei collegamenti fisici è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2021-30968: Csaba Fitzl (@theevilbit) di Offensive Security

Sandbox

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può accedere ai file di un utente.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2021-30947: Csaba Fitzl (@theevilbit) di Offensive Security

SQLite

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'app dannosa potrebbe essere in grado di accedere ai dati di altre app abilitando la registrazione aggiuntiva.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30944: Wojciech Reguła (@_r3ggi) di SecuRing

Voce aggiunta il 25 maggio 2022

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30934: Dani Biro

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30936: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab

CVE-2021-30951: Pangu tramite Tianfu Cup

Voce aggiornata il 25 maggio 2022

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30952: @18f e @jq0904 del laboratorio weibin di DBAPP Security tramite Tianfu Cup

Voce aggiornata il 25 maggio 2022

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2021-30984: Kunlun Lab tramite Tianfu Cup

Voce aggiornata il 25 maggio 2022

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30953: Jianjun Dai del 360 Vulnerability Research Institute tramite Tianfu Cup

Voce aggiornata il 25 maggio 2022

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30954: Kunlun Lab tramite Tianfu Cup

Voce aggiornata il 25 maggio 2022

Altri riconoscimenti

Bluetooth

Ringraziamo Haram Park dell'Università della Corea per l'assistenza.

ColorSync

Ringraziamo Mateusz Jurczyk di Google Project Zero per l'assistenza.

Contacts

Ringraziamo Minchan Park (03stin) per l'assistenza.

Kernel

Ringraziamo Amit Klein del Centro di ricerca in crittografia applicata e sicurezza informatica della Bar-Ilan University per l'assistenza.

WebKit

Ringraziamo Peter Snyder di Brave e Soroush Karami per l'assistenza.

Voce aggiornata il 25 maggio 2022

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: