Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 15.1
Utgitt 25. oktober 2021
Audio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2021-30907: Zweig fra Kunlun Lab
ColorSync
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i behandlingen av ICC-profiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2021-30917: Alexandru-Vlad Niculae og Mateusz Jurczyk fra Google Project Zero
Continuity Camera
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et problem med ukontrollert formatstreng ble løst gjennom forbedret validering av inndata.
CVE-2021-30903: Gongyu Ma fra Hangzhou Dianzi University
Oppføring lagt til 25. mai 2022
CoreAudio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig fil kan avsløre brukerinformasjon
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30905: Mickey Jin (@patch1t) fra Trend Micro
CoreGraphics
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig PDF-fil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30919
FileProvider
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2021-31007: Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt 31. mars 2022, oppdatert 25. mai 2022
FileProvider
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret minnehåndtering.
CVE-2021-30881: Simon Huang (@HuangShaomang) og pjf fra IceSword Lab ved Qihoo 360
Game Center
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan få tilgang til informasjon om en brukers kontakter
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30895: Denis Tokarev (@illusionofcha0s)
Oppføring oppdatert 25. mai 2022
Game Center
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å lese brukerens spilldata
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30896: Denis Tokarev (@illusionofcha0s)
Oppføring oppdatert 25. mai 2022
iCloud
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30906: Cees Elzinga
Image Processing
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2021-30894: Pan ZhenPeng (@Peterpan0927) fra Alibaba Security Pandora Lab
IOMobileFrameBuffer
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2021-30883: en anonym forsker
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En ekstern angriper kan forårsake uventet omstart av en enhet
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30924: Elaman Iskakov (@darling_x0r) fra Effective og Alexey Katkov (@watman27)
Oppføring lagt til 19. januar 2022
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30886: @0xalsr
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2021-30909: Zweig fra Kunlun Lab
Model I/O
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig fil kan avsløre brukerinformasjon
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30910: Mickey Jin (@patch1t) fra Trend Micro
UIKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En person med fysisk tilgang til en enhet kan kanskje avgjøre karakteristikker for et brukerpassord i et sikkert tekstinndatafelt
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30915: Kostas Angelopoulos
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2021-31008
Oppføring lagt til 31. mars 2022
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til at Content Security Policy uventet ikke håndheves
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30887: Narendra Bhati (@imnarendrabhati) fra Suma Soft Pvt. Ltd.
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig nettsted som bruker Content Security Policy-rapporter, kan lekke informasjon via omdirigeringsatferd
Beskrivelse: Et problem med lekking av informasjon ble løst.
CVE-2021-30888: Prakash (@1lastBr3ath)
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2021-30889: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30890: en anonym forsker
Ytterligere anerkjennelser
iCloud
Vi vil gjerne takke Ryan Pickren (ryanpickren.com) for hjelpen.
Vi vil gjerne takke Fabian Ising og Damian Poddebniak fra Fachhochschule Münster for hjelpen.
WebKit
Vi vil gjerne takke Ivan Fratric fra Google Project Zero, Pavel Gromadchuk og en anonym forsker for hjelpen.