Informazioni sui contenuti di sicurezza di tvOS 14.5
In questo documento vengono descritti i contenuti di sicurezza di tvOS 14.5.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
tvOS 14.5
AppleMobileFileIntegrity
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di ignorare le preferenze sulla privacy.
Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.
CVE-2021-1849: Siguza
Assets
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente locale può essere in grado di creare o modificare file associati a privilegi.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-1836: un ricercatore anonimo
Audio
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1808: JunDong Xie di Ant Security Light-Year Lab
CFNetwork
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1857: un ricercatore anonimo
CoreAudio
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1846: JunDong Xie di Ant Security Light-Year Lab
CoreAudio
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1809: JunDong Xie di Ant Security Light-Year Lab
CoreText
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1811: Xingwei Lin di Ant Security Light-Year Lab
FontParser
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1881: un ricercatore anonimo, Xingwei Lin di Ant Security Light-Year Lab, Mickey Jin di Trend Micro e Hou JingYi (@hjy79425575) di Qihoo 360
Foundation
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2021-1813: Cees Elzinga
Heimdal
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di messaggi del server dannosi può danneggiare la memoria heap.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1885: CFF di Topsec Alpha Team
ImageIO
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30653: Ye Zhang di Baidu Security
CVE-2021-1843: Ye Zhang di Baidu Security
ImageIO
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-1858: Mickey Jin di Trend Micro
iTunes Store
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato con l'esecuzione di JavaScript può essere in grado di eseguire codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1864: CodeColorist di Ant-Financial LightYear Labs
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di rivelare la memoria kernel.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1860: @0xalsr
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2021-1816: Tielei Wang di Pangu Lab
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1851: @0xalsr
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: i file copiati potrebbero non avere i permessi file previsti.
Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.
CVE-2021-1832: un ricercatore anonimo
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di rivelare la memoria kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30660: Alex Plaskett
libxpc
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2021-30652: James Hutchins
libxslt
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.
Descrizione: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1875: rilevato da OSS-Fuzz
MobileInstallation
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente locale può essere in grado di modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-1822: Bruno Virlet di The Grizzly Labs
Preferences
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente locale può essere in grado di modificare parti protette del file system.
Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.
CVE-2021-1815: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Tailspin
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1868: Tim Michaud di Zoom Communications
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2021-1844: Clément Lecigne di Google's Threat Analysis Group e Alison Huffman di Microsoft Browser Vulnerability Research
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-1825: Alex Camboe di Aon's Cyber Solutions
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1817: zhunki
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-1826: un ricercatore anonimo
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-1820: André Bargull
WebKit Storage
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un contenuto web dannoso può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30661: yangkang (@dnpushme) di 360 ATA
Altri riconoscimenti
Assets
Ringraziamo Cees Elzinga per l'assistenza.
CoreAudio
Ringraziamo un ricercatore anonimo per l'assistenza.
CoreCrypto
Ringraziamo Andy Russon di Orange Group per l'assistenza.
Foundation
Ringraziamo CodeColorist di Ant-Financial LightYear Labs per l'assistenza.
Kernel
Ringraziamo Antonio Frighetto del Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) di SensorFu, Proteas e Tielei Wang di Pangu Lab per l'assistenza.
Security
Ringraziamo Xingwei Lin di Ant Security Light-Year Lab e john (@nyan_satan) per l'assistenza.
sysdiagnose
Ringraziamo Tim Michaud (@TimGMichaud) di Leviathan per l'assistenza.
WebKit
Ringraziamo Emilio Cobos Álvarez di Mozilla per l'assistenza.
WebSheet
Ringraziamo Patrick Clover (ricercatore indipendente) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.