Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 14.5
Data lansării: 26 aprilie 2021
AppleMobileFileIntegrity
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca o aplicație rău intenționată să poată ocoli restricțiile de confidențialitate
Descriere: a fost rezolvată o problemă în validarea semnăturii codului prin verificări îmbunătățite.
CVE-2021-1849: Siguza
Assets
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca un utilizator local să poată să creeze sau să modifice fișiere privilegiate
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-1836: un cercetător anonim
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-1857: un cercetător anonim
CoreAudio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca procesarea unui fișier audio creat cu rea intenție să divulge memorie restricționată
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreText
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-1881: un cercetător anonim, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) și Hou JingYi (@hjy79425575) (Qihoo 360)
Foundation
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2021-1813: Cees Elzinga
Heimdal
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca procesarea unor mesaje de server create cu rea intenție să poată cauza alterarea segmentului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-1858: Mickey Jin (Trend Micro)
iTunes Store
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca un atacator cu executare de cod JavaScript să poată executa cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-1860: @0xalsr
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2021-1816: Tielei Wang (Pangu Lab)
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-1851: @0xalsr
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca fișiere copiate să nu aibă permisiunile de fișier așteptate
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2021-1832: un cercetător anonim
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30660: Alex Plaskett
libxpc
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2021-30652: James Hutchins
libxslt
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată cauza alterarea segmentului
Descriere: o problemă de eliberare dublă a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-1875: problemă găsită de OSS-Fuzz
MobileInstallation
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un utilizator local poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-1822: Bruno Virlet (The Grizzly Labs)
Preferences
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un utilizator local poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.
CVE-2021-1815: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Tailspin
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2021-1868: Tim Michaud (Zoom Communications)
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2021-1844: Clément Lecigne (Google’s Threat Analysis Group), Alison Huffman (Microsoft Browser Vulnerability Research)
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2021-1817: zhunki
Intrare actualizată pe 6 mai 2021
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-1826: un cercetător anonim
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-1820: André Bargull
Intrare actualizată pe 6 mai 2021
WebKit Storage
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar. A fost adus la cunoștința Apple un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-30661: yangkang(@dnpushme) (360 ATA)
Alte mențiuni
Assets
Dorim să îi mulțumim lui Cees Elzinga pentru asistența acordată.
Intrare adăugată pe 6 mai 2021
CoreAudio
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Intrare adăugată pe 6 mai 2021
CoreCrypto
Dorim să îi mulțumim lui Andy Davis de la Orange Group pentru asistența acordată.
Intrare adăugată pe 6 mai 2021
Foundation
Dorim să îi mulțumim lui CodeColorist (Ant-Financial LightYear Labs) pentru asistența acordată.
Intrare adăugată pe 6 mai 2021
Kernel
Dorim să le mulțumim următoarelor persoane: Antonio Frighetto de la Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) de la SensorFu, Proteas și Tielei Wang of Pangu Lab pentru asistența acordată.
Intrare adăugată pe 6 mai 2021
Security
Dorim să le mulțumim lui Xingwei Lin de la Ant Security Light-Year Lab și lui john (@nyan_satan) pentru asistența acordată.
Intrare adăugată pe 6 mai 2021
sysdiagnose
Dorim să îi mulțumim lui Tim Michaud (@TimGMichaud) de la Leviathan pentru asistența acordată.
Intrare adăugată pe 6 mai 2021
WebKit
Dorim să îi mulțumim lui Emilio Cobos Álvarez de la Mozilla pentru asistența acordată.
Intrare adăugată pe 6 mai 2021
WebSheet
Dorim să îi mulțumim lui Patrick Clover (cercetător independent) pentru asistența acordată.
Intrare adăugată pe 6 mai 2021