Over de beveiligingsinhoud van tvOS 14.4
In dit document wordt de beveiligingsinhoud van tvOS 14.4 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 14.4
Analytische gegevens
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2021-1761: Cees Elzinga
APFS
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een lokale gebruiker kan willekeurige bestanden lezen
Beschrijving: het probleem is verholpen door een verbeterde logica voor bevoegdheden.
CVE-2021-1797: Thomas Tempelmann
CoreAnimation
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadaardig programma kan willekeurige code uitvoeren waardoor gebruikersgegevens in gevaar kunnen worden gebracht
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2021-1760:@S0rryMybad van het 360 Vulcan Team
CoreAudio
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2021-1747: JunDong Xie van het Ant Security Light-Year Lab
CoreGraphics
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-1776: Ivan Fratric van Google Project Zero
CoreMedia
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2021-1759: Hou JingYi (@hjy79425575) van Qihoo 360 CERT
CoreText
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.
CVE-2021-1772: Mickey Jin (@patch1t) van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
CoreText
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-1792: Mickey Jin en Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
Crashrapportage
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een lokale gebruiker kan systeembestanden aanmaken of wijzigen
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2021-1786: Csaba Fitzl (@theevilbit) van Offensive Security
Crashrapportage
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen
Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.
CVE-2021-1787: James Hutchins
FairPlay
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun en Mickey Jin van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
FontParser
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-1758: Peter Nguyen van STAR Labs
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2021-1818: Xingwei Lin van Ant-Financial Light-Year Security Lab
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2021-1766: Danny Rosseau van Carve Systems
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2021-1785: Xingwei Lin van het Ant Security Light-Year Lab
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2021-1744: Xingwei Lin van het Ant Security Light-Year Lab
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2021-1818: Xingwei Lin van Ant-Financial Light-Year Security Lab
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2021-1742: Xingwei Lin van het Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin(@singi21a) van THEORI, Mickey Jin en Qi Sun van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro, Xingwei Lin van Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin van het Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin van het Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin van het Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin van het Ant Security Light-Year Lab
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2021-1773: Xingwei Lin van het Ant Security Light-Year Lab
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-1741: Xingwei Lin van het Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin & Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro, Xingwei Lin van Ant Security Light-Year Lab
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service
Beschrijving: er was een probleem met lezen buiten het bereik in de curl. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-2021-1778: Xingwei Lin van het Ant Security Light-Year Lab
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een toegangsprobleem is verholpen door verbeterd geheugenbeheer.
CVE-2021-1783: Xingwei Lin van het Ant Security Light-Year Lab
IOSkywalkFamily
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-1757: Proteas en Pan ZhenPeng (@Peterpan0927) van Alibaba Security
iTunes Store
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde URL kan leiden tot het uitvoeren van willekeurige JavaScript-code
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2021-1748: CodeColorist in samenwerking met Ant Security Light-Year Labs
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2021-1764: @m00nbsd
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.
CVE-2021-1750: @0xalsr
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadaardig programma kan de bevoegdheden verhogen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.
CVE-2021-1782: een anonieme onderzoeker
Swift
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2021-1769: CodeColorist van de Ant-Financial Light-Year Labs
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
CVE-2021-1789:@S0rryMybad van het 360 Vulcan Team
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: kwaadwillig vervaardigde webinhoud kan het iframe sandbox-beleid schenden
Beschrijving: dit probleem is verholpen door verbeterde uitvoering van iframe sandbox.
CVE-2021-1801: Eliya Stein van Confiant
WebRTC
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een schadelijke website kan toegang hebben tot beperkte poorten op arbitraire servers
Beschrijving: een probleem met de poortomleiding is opgelost door middel van extra poortvalidatie.
CVE-2021-1799: Gregory Vishnepolsky en Ben Seri van Armis Security, en Samy Kamkar
Aanvullende erkenning
iTunes Store
Met dank aan CodeColorist van de Ant-Financial Light-Year Labs voor de hulp.
Kernel
Met dank aan Junzhi Lu (@pwn0rz), Mickey Jin en Jesse Change van Trend Micro voor de hulp.
libpthread
Met dank aan CodeColorist van de Ant-Financial Light-Year Labs voor de hulp.
Store Demo
Met dank aan@08Tc3wBB voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.