Om sikkerhetsinnholdet i tvOS 15.2

I dette dokumentet beskrives sikkerhetsinnholdet i tvOS 15.2.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

tvOS 15.2

Utgitt 13. desember 2021

Audio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig lydfil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2021-30960: JunDong Xie fra Ant Security Light-Year Lab

CFNetwork Proxies

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Brukertrafikk kan uventet lekkes til en proxytjener til tross for PAC-konfigurasjonene

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2021-30966: Michal Rajcan fra Jamf, Matt Vlasach fra Jamf (Wandera)

ColorSync

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skadet minne i behandlingen av ICC-profiler ble løst gjennom forbedret inndatavalidering.

CVE-2021-30926: Jeremy Brown

CVE-2021-30942: Mateusz Jurczyk fra Google Project Zero

CoreAudio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig lydfil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.

CVE-2021-30962: JunDong Xie fra Ant Security Light-Year Lab

Oppføring lagt til 25. mai 2022

CoreAudio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2021-30957: JunDong Xie fra Ant Security Light-Year Lab

Oppføring oppdatert 25. mai 2022

CoreAudio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Avspilling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2021-30958: JunDong Xie fra Ant Security Light-Year Lab

Crash Reporter

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2021-30945: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

FontParser

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2021-31013: Daniel Lim Wee Soong fra STAR Labs

Oppføring lagt til 7. juni 2023

Game Center

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et ondsinnet program kan være i stand til å lese sensitiv kontaktinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.

CVE-2021-31000: Denis Tokarev (@illusionofcha0s)

Oppføring lagt til 25. mai 2022

ImageIO

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2021-30939: Mickey Jin (@patch1t) fra Trend Micro, Jaewon Min fra Cisco Talos, Rui Yang og Xingwei Lin fra Ant Security Light-Year Lab

Oppføring oppdatert 25. mai 2022

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2021-30916: Zweig fra Kunlun Lab

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.

CVE-2021-30937: Sergei Glazunov fra Google Project Zero

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2021-30927: Xinru Chi fra Pangu Lab

CVE-2021-30980: Xinru Chi fra Pangu Lab

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2021-30949: Ian Beer fra Google Project Zero

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En angriper i en privilegert nettverksposisjon kan utføre vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2021-30993: OSS-Fuzz, Ned Williamson fra Google Project Zero

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2021-30955: Zweig fra Kunlun Lab

Preferences

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan være i stand til å utvide rettigheter

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2021-30995: Mickey Jin (@patch1t) fra Trend Micro, Mickey Jin (@patch1t)

Sandbox

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger

Beskrivelse: Et valideringsproblem relatert til atferden til faste lenker ble løst gjennom forbedrede sandkasserestriksjoner.

CVE-2021-30968: Csaba Fitzl (@theevilbit) fra Offensive Security

Sandbox

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan få tilgang til en brukers filer

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2021-30947: Csaba Fitzl (@theevilbit) fra Offensive Security

SQLite

Tilgjengelig for Apple TV 4K og Apple TV HD

Innvirkning: En skadelig app kan være i stand til å få tilgang til data fra andre apper ved å aktivere ytterligere logging

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2021-30944: Wojciech Reguła (@_r3ggi) fra SecuRing

Oppføring lagt til 25. mai 2022

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2021-30934: Dani Biro

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2021-30936: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab

CVE-2021-30951: Pangu via Tianfu Cup

Oppføring oppdatert 25. mai 2022

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2021-30952: @18f og @jq0904 fra DBAPP Securitys weibin-laboratorium via Tianfu Cup

Oppføring oppdatert 25. mai 2022

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2021-30984: Kunlun Lab via Tianfu Cup

Oppføring oppdatert 25. mai 2022

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2021-30953: Jianjun Dai fra 360 Vulnerability Research Institute via Tianfu Cup

Oppføring oppdatert 25. mai 2022

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2021-30954: Kunlun Lab via Tianfu Cup

Oppføring oppdatert 25. mai 2022

Ytterligere anerkjennelser

Bluetooth

Vi vil gjerne takke Haram Park ved Korea University for hjelpen.

ColorSync

Vi vil gjerne takke Mateusz Jurczyk fra Google Project Zero for hjelpen.

Contacts

Vi vil gjerne takke Minchan Park (03stin) for hjelpen.

Kernel

Vi vil gjerne takke Amit Klein fra Bar-Ilan Universitys Center for Research in Applied Cryptography and Cyber Security for hjelpen.

WebKit

Vi vil gjerne takke Peter Snyder fra Brave og Soroush Karami for hjelpen.

Oppføring oppdatert 25. mai 2022

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: