Om sikkerhetsinnholdet i tvOS 14.5
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 14.5.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 14.5
AppleMobileFileIntegrity
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En skadelig app kan omgå personverninnstillinger
Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.
CVE-2021-1849: Siguza
Assets
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal bruker kan være i stand til å opprette eller modifisere privilegerte filer
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-1836: en anonym forsker
Audio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1808: JunDong Xie fra Ant Security Light-Year Lab
CFNetwork
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1857: en anonym forsker
CoreAudio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1846: JunDong Xie fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å lese begrenset minne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1809: JunDong Xie fra Ant Security Light-Year Lab
CoreText
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1811: Xingwei Lin fra Ant Security Light-Year Lab
FontParser
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1881: en anonym forsker, Xingwei Lin fra Ant Security Light-Year Lab, Mickey Jin fra Trend Micro og Hou JingYi (@hjy79425575) fra Qihoo 360
Foundation
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2021-1813: Cees Elzinga
Heimdal
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig utformede servermeldinger kan føre til skade i heapen
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1885: CFF fra Topsec Alpha Team
ImageIO
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30653: Ye Zhang fra Baidu Security
CVE-2021-1843: Ye Zhang fra Baidu Security
ImageIO
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1858: Mickey Jin fra Trend Micro
iTunes Store
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En angriper med JavaScript-kjøring kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-1864: CodeColorist fra Ant-Financial LightYear Labs
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En skadelig app kan være i stand til å oppgi kjerneminne
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1860: @0xalsr
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1816: Tielei Wang fra Pangu Lab
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1851: @0xalsr
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Kopierte filer har kanskje ikke de forventede filtillatelsene
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-1832: en anonym forsker
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En skadelig app kan være i stand til å oppgi kjerneminne
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30660: Alex Plaskett
libxpc
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2021-30652: James Hutchins
libxslt
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig fil kan føre til skade i heapen
Beskrivelse: Et problem med dobbel frigjøring ble løst med forbedret minnestyring.
CVE-2021-1875: funnet av OSS-Fuzz
MobileInstallation
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal bruker kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-1822: Bruno Virlet fra The Grizzly Labs
Preferences
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal bruker kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem med analyse i behandlingen av registerbaner ble løst med forbedret validering av baner.
CVE-2021-1815: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Tailspin
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1868: Tim Michaud fra Zoom Communications
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1844: Clément Lecigne fra Google’s Threat Analysis Group, Alison Huffman fra Microsoft Browser Vulnerability Research
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2021-1825: Alex Camboe fra Aon’s Cyber Solutions
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1817: en anonym forsker
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-1826: en anonym forsker
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1820: en anonym forsker
WebKit Storage
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha vært under aktiv utnyttelse.
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30661: yangkang (@dnpushme) fra 360 ATA
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.