Informazioni sui contenuti di sicurezza di tvOS 15.1

In questo documento vengono descritti i contenuti di sicurezza di tvOS 15.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 15.1

Data di rilascio: 25 ottobre 2021

Audio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2021-30907: Zweig di Kunlun Lab

ColorSync

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30917: Alexandru-Vlad Niculae e Mateusz Jurczyk di Google Project Zero

Continuity Camera

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di stringa del formato non controllata è stato risolto tramite una migliore convalida degli input.

CVE-2021-30903: Gongyu Ma della Hangzhou Dianzi University

Voce aggiunta il 25 maggio 2022

CoreAudio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30905: Mickey Jin (@patch1t) di Trend Micro

CoreGraphics

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un PDF dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30919

FileProvider

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2021-31007: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 31 marzo 2022 e aggiornata il 25 maggio 2022

FileProvider

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30881: Simon Huang (@HuangShaomang) e pjf di IceSword Lab di Qihoo 360

Game Center

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di accedere alle informazioni relative ai contatti di un utente.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Voce aggiornata il 25 maggio 2022

Game Center

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di leggere i dati di gioco dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30896: Denis Tokarev (@illusionofcha0s)

Voce aggiornata il 25 maggio 2022

iCloud

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30906: Cees Elzinga

Image Processing

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30894: Pan ZhenPeng (@Peterpan0927) di Alibaba Security Pandora Lab

IOMobileFrameBuffer

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può causare l'esecuzione di codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30883: un ricercatore anonimo

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato collegato in remoto potrebbe provocare il riavvio improvviso del dispositivo.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) di Effective e Alexey Katkov (@watman27)

Voce aggiunta il 19 gennaio 2022

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30886: @0xalsr

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30909: Zweig di Kunlun Lab

Model I/O

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30910: Mickey Jin (@patch1t) di Trend Micro

UIKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: una persona con accesso fisico a un dispositivo può essere in grado di determinare le caratteristiche della password di un utente in un campo di inserimento testo protetto.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-31008

Voce aggiunta il 31 marzo 2022

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la mancata applicazione della Content Security Policy in modo inatteso.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) di Suma Soft Pvt. Ltd.

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un sito web dannoso che utilizza i report Content Security Policy può essere in grado di divulgare informazioni mediante un comportamento di reindirizzamento.

Descrizione: un problema di divulgazione di informazioni è stato risolto.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30889: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30890: un ricercatore anonimo

Altri riconoscimenti

iCloud

Ringraziamo Ryan Pickren (ryanpickren.com) per l'assistenza.

Mail

Ringraziamo Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences per l'assistenza.

WebKit

Ringraziamo Ivan Fratric di Google Project Zero, Pavel Gromadchuk, un ricercatore anonimo per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: