Despre conținutul de securitate din tvOS 14.6

Acest document descrie conținutul de securitate din tvOS 14.6.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

tvOS 14.6

Audio

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30707: hjy79425575, în colaborare cu inițiativa Zero Day de la Trend Micro

Audio

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: analizarea unui fișier audio creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30685: Mickey Jin (@patch1t) (Trend Micro)

CoreAudio

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza divulgarea memoriei restricționate

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2021-30686: Mickey Jin (Trend Micro)

CoreText

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării

Descriere: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului.

CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-30733: Sunglin (Knownsec 404)

Crash Reporter

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-30727: Cees Elzinga

CVMS

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)

FontParser

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-30771: Mickey Jin (@patch1t) (Trend Micro), CFF (Topsec Alpha Team)

FontParser

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării

Descriere: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului.

CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)

Heimdal

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un utilizator local poate cauza scurgeri de informații sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație rău intenționată poate provoca refuzarea serviciului sau dezvăluirea conținutului memoriei

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30700: Ye Zhang (@co0py_Cat) (Baidu Security)

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30701: Mickey Jin (@patch1t) (Trend Micro) și Ye Zhang (Baidu Security)

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier ASTC creat cu rea intenție poate dezvălui conținutul memoriei

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30705: Ye Zhang (Baidu Security)

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: această problemă a fost rezolvată prin verificări îmbunătățite

Descriere: procesarea unei imagini create cu rea intenție poate cauza divulgarea informațiilor despre utilizator.

CVE-2021-30706: anonim în colaborare cu inițiativa Zero Day de la Trend Micro, Jzhu în colaborare cu inițiativa Zero Day de la Trend Micro

Kernel

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-30704: un cercetător anonim

Kernel

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-30715: National Cyber Security Centre (NCSC) (Marea Britanie)

Kernel

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2021-30736: Ian Beer (Google Project Zero)

Kernel

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o problemă de eliberare dublă a fost rezolvată printr-o gestionare mai bună a memoriei

Descriere: o aplicație poate executa un cod arbitrar cu privilegii de kernel.

CVE-2021-30703: un cercetător anonim

LaunchServices

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație rău intenționată poate evada din sandbox

Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.

CVE-2021-30677: Ron Waisberg (@epsilan)

Security

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui certificat creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei din decodorul ASN.1 prin eliminarea codului vulnerabil.

CVE-2021-30737: xerub

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang (360 ATA)

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: o problemă cu origine încrucișată cu elemente iframe a fost rezolvată prin urmărirea îmbunătățită a originilor de securitate.

CVE-2021-30744: Dan Hite (jsontop)

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2021-21779: Marcin Towalski (Cisco Talos)

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-30682: un cercetător anonim și 1lastBr3ath

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-30689: un cercetător anonim

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2021-30749: un cercetător anonim și mipu94 (laboratorul SEFCOM, ASU). în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2021-30734: Jack Dates (RET2 Systems, Inc.) (@ret2systems) în colaborare cu Zero Day Initiative (Trend Micro)

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un site web rău intenționat poate accesa porturi restricționate pe servere arbitrare

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-30720: David Schütz (@xdavidhu)

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2021-30663: un cercetător anonim

Alte mențiuni

ImageIO

Dorim să le mulțumim pentru asistență lui Jzhu care a colaborat cu inițiativa Zero Day de la Trend Micro și unui cercetător anonim.

WebKit

Dorim să îi mulțumim pentru asistență lui Chris Salls (@salls) (Makai Security).