Informazioni sui contenuti di sicurezza di tvOS 15.1
In questo documento vengono descritti i contenuti di sicurezza di tvOS 15.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
tvOS 15.1
Audio
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2021-30907: Zweig di Kunlun Lab
ColorSync
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30917: Alexandru-Vlad Niculae e Mateusz Jurczyk di Google Project Zero
Continuity Camera
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di stringa del formato non controllata è stato risolto tramite una migliore convalida degli input.
CVE-2021-30903: Gongyu Ma della Hangzhou Dianzi University
CoreAudio
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30905: Mickey Jin (@patch1t) di Trend Micro
CoreGraphics
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un PDF dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30919
FileProvider
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2021-31007: Csaba Fitzl (@theevilbit) di Offensive Security
FileProvider
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30881: Simon Huang (@HuangShaomang) e pjf di IceSword Lab di Qihoo 360
Game Center
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di accedere alle informazioni relative ai contatti di un utente.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2021-30895: Denis Tokarev (@illusionofcha0s)
Game Center
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di leggere i dati di gioco dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-30896: Denis Tokarev (@illusionofcha0s)
iCloud
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30906: Cees Elzinga
Image Processing
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30894: Pan ZhenPeng (@Peterpan0927) di Alibaba Security Pandora Lab
IOMobileFrameBuffer
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può causare l'esecuzione di codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30883: un ricercatore anonimo
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato collegato in remoto potrebbe provocare il riavvio improvviso del dispositivo.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30924: Elaman Iskakov (@darling_x0r) di Effective e Alexey Katkov (@watman27)
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30886: @0xalsr
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30909: Zweig di Kunlun Lab
Model I/O
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30910: Mickey Jin (@patch1t) di Trend Micro
UIKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: una persona con accesso fisico a un dispositivo può essere in grado di determinare le caratteristiche della password di un utente in un campo di inserimento testo protetto.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30915: Kostas Angelopoulos
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-31008
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la mancata applicazione della Content Security Policy in modo inatteso.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-30887: Narendra Bhati (@imnarendrabhati) di Suma Soft Pvt. Ltd.
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un sito web dannoso che utilizza i report Content Security Policy può essere in grado di divulgare informazioni mediante un comportamento di reindirizzamento.
Descrizione: un problema di divulgazione di informazioni è stato risolto.
CVE-2021-30888: Prakash (@1lastBr3ath)
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30889: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30890: un ricercatore anonimo
Altri riconoscimenti
iCloud
Ringraziamo Ryan Pickren (ryanpickren.com) per l'assistenza.
Ringraziamo Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences per l'assistenza.
WebKit
Ringraziamo Ivan Fratric di Google Project Zero, Pavel Gromadchuk, un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.