Acerca dos conteúdos de segurança do tvOS 14.5

Este documento descreve os conteúdos de segurança do tvOS 14.5.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

tvOS 14.5

Data de lançamento: 26 de abril de 2021

AppleMobileFileIntegrity

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação maliciosa poderá conseguir contornar as preferências de privacidade

Descrição: foi resolvido um problema na validação da assinatura de código através de verificações melhoradas.

CVE-2021-1849: Siguza

Assets

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um utilizador local poderá criar ou modificar ficheiros privilegiados

Descrição: foi resolvido um problema de lógica através de restrições melhoradas.

CVE-2021-1836: um investigador anónimo

Audio

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma app poderá conseguir ler a memória restrita

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.

CVE-2021-1808: JunDong Xie do Ant Security Light-Year Lab

CFNetwork

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá divulgar informações confidenciais do utilizador

Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.

CVE-2021-1857: um investigador anónimo

CoreAudio

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de um ficheiro de áudio criado com intuito malicioso poderá divulgar memória restrita

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2021-1846: JunDong Xie do Ant Security Light-Year Lab

CoreAudio

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação maliciosa poderá conseguir ler a memória restrita

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.

CVE-2021-1809: JunDong Xie do Ant Security Light-Year Lab

CoreText

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-1811: Xingwei Lin do Ant Security Light-Year Lab

FontParser

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2021-1881: um investigador anónimo, Xingwei Lin do Ant Security Light-Year Lab, Mickey Jin da Trend Micro e Hou JingYi (@hjy79425575) da Qihoo 360

Foundation

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação poderá conseguir obter privilégios elevados

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação maliciosa poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de validação através da lógica melhorada.

CVE-2021-1813: Cees Elzinga

Heimdal

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de mensagens de servidor criadas com intuito malicioso poderá provocar corrupção da área dinâmica para dados

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um atacante remoto poderá conseguir provocar uma recusa de serviço

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.

CVE-2021-1885: CFF Equipa Alpha da Topsec

ImageIO

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2021-30653: Ye Zhang do Baidu Security

CVE-2021-1843: Ye Zhang do Baidu Security

ImageIO

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2021-1858: Mickey Jin da Trend Micro

iTunes Store

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um atacante com execução de JavaScript poderá conseguir executar um código arbitrário

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

CVE-2021-1864: CodeColorist do Ant-Financial LightYear Labs

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação maliciosa poderá conseguir divulgar o esquema de memória do kernel

Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.

CVE-2021-1860: @0xalsr

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2021-1816: Tielei Wang do Pangu Lab

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-1851: @0xalsr

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: os ficheiros copiados podem não ter as permissões de ficheiros esperadas

Descrição: o problema foi resolvido através da lógica melhorada de permissões.

CVE-2021-1832: um investigador anónimo

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação maliciosa poderá conseguir divulgar o esquema de memória do kernel

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.

CVE-2021-30660: Alex Plaskett

libxpc

Disponível para: Apple TV 4K e Apple TV HD

Impacto: uma aplicação maliciosa poderá conseguir obter privilégios de raiz

Descrição: foi resolvida uma condição de disputa através de validação adicional.

CVE-2021-30652: James Hutchins

libxslt

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a corrupção da área dinâmica para dados

Descrição: foi resolvido um problema de libertação dupla através da gestão melhorada da memória.

CVE-2021-1875: detetado por OSS-Fuzz

MobileInstallation

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um utilizador local poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de lógica através de restrições melhoradas.

CVE-2021-1822: Bruno Virlet do The Grizzly Labs

Preferences

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um utilizador local poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2021-1815: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

Tailspin

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um atacante local poderá conseguir aumentar os privilégios

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-1868: Tim Michaud da Zoom Communications

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.

CVE-2021-1844: Clément Lecigne do Grupo de Análise de Ameaças da Google, Alison Huffman da Microsoft Browser Vulnerability Research

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

Descrição: foi resolvido um problema de validação da entrada através da validação melhorada da entrada.

CVE-2021-1825: Alex Camboe do Aon’s Cyber Solutions

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.

CVE-2021-1817: um investigador anónimo

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma execução universal de scripts entre sites

Descrição: foi resolvido um problema de lógica através de restrições melhoradas.

CVE-2021-1826: um investigador anónimo

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.

CVE-2021-1820: um investigador anónimo

WebKit Storage

Disponível para: Apple TV 4K e Apple TV HD

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário. A Apple tem conhecimento de uma denúncia de que este problema pode ser sido explorado ativamente.

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

CVE-2021-30661: yangkang(@dnpushme) da 360 ATA

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: