Om sikkerhetsinnholdet i tvOS 14.5

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 14.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

tvOS 14.5

Utgitt 26. april 2021

AppleMobileFileIntegrity

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En skadelig app kan omgå personverninnstillinger

Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.

CVE-2021-1849: Siguza

Assets

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En lokal bruker kan være i stand til å opprette eller modifisere privilegerte filer

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2021-1836: en anonym forsker

Audio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2021-1808: JunDong Xie fra Ant Security Light-Year Lab

CFNetwork

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon

Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.

CVE-2021-1857: en anonym forsker

CoreAudio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2021-1846: JunDong Xie fra Ant Security Light-Year Lab

CoreAudio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan være i stand til å lese begrenset minne

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2021-1809: JunDong Xie fra Ant Security Light-Year Lab

CoreText

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2021-1811: Xingwei Lin fra Ant Security Light-Year Lab

FontParser

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2021-1881: en anonym forsker, Xingwei Lin fra Ant Security Light-Year Lab, Mickey Jin fra Trend Micro og Hou JingYi (@hjy79425575) fra Qihoo 360

Foundation

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan være i stand til å få utvidede rettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan bli i stand til å få rotrettigheter

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

CVE-2021-1813: Cees Elzinga

Heimdal

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig utformede servermeldinger kan føre til skade i heapen

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grenseverdikontroll.

CVE-2021-1885: CFF fra Topsec Alpha Team

ImageIO

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2021-30653: Ye Zhang fra Baidu Security

CVE-2021-1843: Ye Zhang fra Baidu Security

ImageIO

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2021-1858: Mickey Jin fra Trend Micro

iTunes Store

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En angriper med JavaScript-kjøring kan være i stand til å kjøre vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2021-1864: CodeColorist fra Ant-Financial LightYear Labs

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En skadelig app kan være i stand til å oppgi kjerneminne

Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.

CVE-2021-1860: @0xalsr

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2021-1816: Tielei Wang fra Pangu Lab

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2021-1851: @0xalsr

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Kopierte filer har kanskje ikke de forventede filtillatelsene

Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.

CVE-2021-1832: en anonym forsker

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En skadelig app kan være i stand til å oppgi kjerneminne

Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grenseverdikontroll.

CVE-2021-30660: Alex Plaskett

libxpc

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan bli i stand til å få rotrettigheter

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2021-30652: James Hutchins

libxslt

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

Beskrivelse: Et problem med dobbel frigjøring ble løst med forbedret minnestyring.

CVE-2021-1875: funnet av OSS-Fuzz

MobileInstallation

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En lokal bruker kan endre beskyttede deler av filsystemet

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2021-1822: Bruno Virlet fra The Grizzly Labs

Preferences

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En lokal bruker kan endre beskyttede deler av filsystemet

Beskrivelse: Et problem med analyse i behandlingen av registerbaner ble løst med forbedret validering av baner.

CVE-2021-1815: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

Tailspin

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2021-1868: Tim Michaud fra Zoom Communications

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2021-1844: Clément Lecigne fra Google’s Threat Analysis Group, Alison Huffman fra Microsoft Browser Vulnerability Research

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.

CVE-2021-1825: Alex Camboe fra Aon’s Cyber Solutions

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med sikkerhetsbrud i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2021-1817: en anonym forsker

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2021-1826: en anonym forsker

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres

Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.

CVE-2021-1820: en anonym forsker

WebKit Storage

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha vært under aktiv utnyttelse.

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2021-30661: yangkang (@dnpushme) fra 360 ATA

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: