Despre conținutul de securitate din tvOS 14.5
Acest document descrie conținutul de securitate din tvOS 14.5.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 14.5
AppleMobileFileIntegrity
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca o aplicație rău intenționată să poată ocoli restricțiile de confidențialitate
Descriere: a fost rezolvată o problemă în validarea semnăturii codului prin verificări îmbunătățite.
CVE-2021-1849: Siguza
Assets
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca un utilizator local să poată să creeze sau să modifice fișiere privilegiate
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-1836: un cercetător anonim
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-1857: un cercetător anonim
CoreAudio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca procesarea unui fișier audio creat cu rea intenție să divulge memorie restricționată
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreText
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-1881: un cercetător anonim, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) și Hou JingYi (@hjy79425575) (Qihoo 360)
Foundation
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2021-1813: Cees Elzinga
Heimdal
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca procesarea unor mesaje de server create cu rea intenție să poată cauza alterarea segmentului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-1858: Mickey Jin (Trend Micro)
iTunes Store
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca un atacator cu executare de cod JavaScript să poată executa cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-1860: @0xalsr
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2021-1816: Tielei Wang (Pangu Lab)
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-1851: @0xalsr
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca fișiere copiate să nu aibă permisiunile de fișier așteptate
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2021-1832: un cercetător anonim
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30660: Alex Plaskett
libxpc
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2021-30652: James Hutchins
libxslt
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată cauza alterarea segmentului
Descriere: o problemă de eliberare dublă a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-1875: problemă găsită de OSS-Fuzz
MobileInstallation
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un utilizator local poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-1822: Bruno Virlet (The Grizzly Labs)
Preferences
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un utilizator local poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.
CVE-2021-1815: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Tailspin
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-1868: Tim Michaud (Zoom Communications)
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2021-1844: Clément Lecigne (Google’s Threat Analysis Group), Alison Huffman (Microsoft Browser Vulnerability Research)
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-1817: zhunki
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-1826: un cercetător anonim
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-1820: André Bargull
WebKit Storage
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar. A fost adus la cunoștința Apple un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-30661: yangkang(@dnpushme) (360 ATA)
Alte mențiuni
Assets
Dorim să îi mulțumim lui Cees Elzinga pentru asistența acordată.
CoreAudio
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
CoreCrypto
Dorim să îi mulțumim lui Andy Davis de la Orange Group pentru asistența acordată.
Foundation
Dorim să îi mulțumim lui CodeColorist (Ant-Financial LightYear Labs) pentru asistența acordată.
Kernel
Dorim să le mulțumim următoarelor persoane: Antonio Frighetto de la Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) de la SensorFu, Proteas și Tielei Wang of Pangu Lab pentru asistența acordată.
Security
Dorim să le mulțumim lui Xingwei Lin de la Ant Security Light-Year Lab și lui john (@nyan_satan) pentru asistența acordată.
sysdiagnose
Dorim să îi mulțumim lui Tim Michaud (@TimGMichaud) de la Leviathan pentru asistența acordată.
WebKit
Dorim să îi mulțumim lui Emilio Cobos Álvarez de la Mozilla pentru asistența acordată.
WebSheet
Dorim să îi mulțumim lui Patrick Clover (cercetător independent) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.