Om sikkerhetsinnholdet i tvOS 14.7
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 14.7.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 14,7
Analytics
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal angriper kan få tilgang til analysedata
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
App Store
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2021-31006: Csaba Fitzl (@theevilbit) fra Offensive Security
Audio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30781: tr3e
AVEVideoEncoder
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30748: George Nosenko
CoreAudio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30775: JunDong Xie fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30776: JunDong Xie fra Ant Security Light-Year Lab
CoreText
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30789: Mickey Jin (@patch1t) fra Trend Micro og Sunglin fra Knownsec 404-teamet
Crash Reporter
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30774: Yizhuo Wang fra Group of Software Security In Progress (G.O.S.S.I.P) ved Shanghai Jiao Tong University
CVMS
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30780: Tim Michaud (@TimGMichaud) fra Zoom Video Communications
dyld
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2021-30760: Sunglin fra Knownsec 404-teamet
FontParser
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig TIFF-fil kan føre til tjenestenekt eller avsløring av minneinnhold
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30788: tr3e i samarbeid med Trend Micro Zero Day Initiative
FontParser
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.
CVE-2021-30759: hjy79425575 i samarbeid med Trend Micro Zero Day Initiative
Identity Service
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å omgå kodesigneringskontroller
Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.
CVE-2021-30773: Linus Henze (pinauten.de)
Image Processing
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30802: Matthew Denton fra Google Chrome Security
ImageIO
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) fra Baidu Security
ImageIO
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30785: CFF fra Topsec Alpha Team og Mickey Jin (@patch1t) fra Trend Micro
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En ondsinnet angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan være i stand til å forbigå skadebegrensende tiltak for kjerneminnet
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-3518
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30758: Christoph Guttandin fra Media Codings
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30795: Sergei Glazunov fra Google Project Zero
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30797: Ivan Fratric fra Google Project Zero
Ytterligere anerkjennelser
Assets
Vi vil gjerne takke Cees Elzinga for hjelpen.
CoreText
Vi vil gjerne takke Mickey Jin (@patch1t) fra Trend Micro for hjelpen.
Power Management
Vi vil gjerne takke Pan ZhenPeng (@Peterpan0927) fra Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) og Lisandro Ubiedo (@_lubiedo) fra Stratosphere Lab for hjelpen.
Safari
Vi vil gjerne takke en anonym forsker for hjelpen.
Sandbox
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
sysdiagnose
Vi vil gjerne takke Carter Jones (linkedin.com/in/carterjones/) og Tim Michaud (@TimGMichaud) fra Zoom Video Communications for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.