Over de beveiligingsinhoud van tvOS 14.5

In dit document wordt de beveiligingsinhoud van tvOS 14.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 14.5

Releasedatum: 26 april 2021

AppleMobileFileIntegrity

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een probleem met de ondertekening van code is opgelost door verbeterde controles.

CVE-2021-1849: Siguza

Assets

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een lokale gebruiker kan mogelijk geprivilegieerde bestanden aanmaken of wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-1836: een anonieme onderzoeker

Audio

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1808: JunDong Xie van het Ant Security Light-Year Lab

CFNetwork

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1857: een anonieme onderzoeker

CoreAudio

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan beperkt geheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1846: JunDong Xie van het Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een kwaadaardig programma kan beperkt geheugen lezen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1809: JunDong Xie van het Ant Security Light-Year Lab

CoreText

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1811: Xingwei Lin van het Ant Security Light-Year Lab

FontParser

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1881: een anonieme onderzoeker, Xingwei Lin van het Ant Security Light-Year Lab, Mickey Jin van Trend Micro en Hou JingYi (@hjy79425575) van Qihoo 360

Foundation

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2021-1813: Cees Elzinga

Heimdal

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van kwaadwillig vervaardigde serverberichten kan leiden tot heapbeschadiging

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1885: CFF van Topsec Alpha Team

ImageIO

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30653: Ye Zhang van Baidu Security

CVE-2021-1843: Ye Zhang van Baidu Security

ImageIO

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1858: Mickey Jin van Trend Micro

iTunes Store

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een aanvaller die JavaScript uitvoert, kan mogelijk willekeurige code uitvoeren

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-1864: CodeColorist van Ant-Financial Light-Year Labs

Kernel

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1860: @0xalsr

Kernel

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2021-1816: Tielei Wang van Pangu Lab

Kernel

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1851: @0xalsr

Kernel

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: gekopieerde bestanden hebben mogelijk niet de verwachte bestandsbevoegdheden

Beschrijving: het probleem is verholpen door een verbeterde logica voor bevoegdheden.

CVE-2021-1832: een anonieme onderzoeker

Kernel

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30660: Alex Plaskett

libxpc

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2021-30652: James Hutchins

libxslt

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2021-1875: gevonden door OSS-Fuzz

MobileInstallation

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een lokale gebruiker kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-1822: Bruno Virlet van The Grizzly Labs

Preferences

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een lokale gebruiker kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2021-1815: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

Tailspin

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1868: Tim Michaud van Zoom Communications

WebKit

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1844: Clément Lecigne van Google's Threat Analysis Group, Alison Huffman van Microsoft Browser Vulnerability Research

WebKit

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een cross-site scripting-aanval

Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.

CVE-2021-1825: Alex Camboe van Aon’s Cyber Solutions

WebKit

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-1817: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-1826: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1820: een anonieme onderzoeker

WebKit-opslag

Beschikbaar voor: Apple TV 4K en Apple TV HD

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-30661: yangkang(@dnpushme) van 360 ATA

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: