Obsah zabezpečenia v systéme tvOS 14.5
V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 14.5.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 14.5
AppleMobileFileIntegrity
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.
CVE-2021-1849: Siguza
Assets
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný vytvárať alebo upravovať privilegované súbory
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-1836: Anonymný výskumník
Audio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1808: JunDong Xie z tímu Ant Security Light-Year Lab
CFNetwork
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1857: anonymný výskumník
CoreAudio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1846: JunDong Xie z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1809: JunDong Xie z tímu Ant Security Light-Year Lab
CoreText
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1811: Xingwei Lin z tímu Ant Security Light-Year Lab
FontParser
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1881: anonymný výskumník, Xingwei Lin z tímu Ant Security Light-Year Lab, Mickey Jin zo spoločnosti Trend Micro a Hou JingYi (@hjy79425575) z tímu Qihoo 360
Foundation
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Škodlivá apka môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2021-1813: Cees Elzinga
Heimdal
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie serverových správ so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1885: CFF z tímu Topsec Alpha Team
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30653: Ye Zhang z tímu Baidu Security
CVE-2021-1843: Ye Zhang z tímu Baidu Security
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1858: Mickey Jin zo spoločnosti Trend Micro
iTunes Store
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Útočník s možnosťou spustenia JavaScriptu môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-1864: CodeColorist z tímu Ant-Financial LightYear Labs
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1860: @0xalsr
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1816: Tielei Wang z tímu Pangu Lab
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1851: @0xalsr
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Kopírované súbory nemusia mať očakávané povolenia súboru
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2021-1832: anonymný výskumník
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30660: Alex Plaskett
libxpc
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Škodlivá apka môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2021-30652: James Hutchins
libxslt
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1875: Nájdené službou OSS-Fuzz
MobileInstallation
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-1822: Bruno Virlet z tímu The Grizzly Labs
Preferences
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2021-1815: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
Tailspin
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1868: Tim Michaud zo spoločnosti Zoom Communications
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1844: Clément Lecigne z tímu Threat Analysis Group spoločnosti Google, Alison Huffman z tímu Microsoft Browser Vulnerability Research
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1825: Alex Camboe z tímu Cyber Solutions spoločnosti Aon
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1817: zhunki
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-1826: anonymný výskumník
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1820: André Bargull
WebKit Storage
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30661: yangkang (@dnpushme) zo spoločnosti 360 ATA
Ďalšie poďakovanie
Assets
Poďakovanie za pomoc si zaslúži Cees Elzinga.
CoreAudio
Poďakovanie za pomoc si zaslúži anonymný výskumník.
CoreCrypto
Poďakovanie za pomoc si zaslúži Andy Russon zo spoločnosti Orange Group.
Foundation
Poďakovanie za pomoc si zaslúži CodeColorist z tímu Ant-Financial LightYear Labs.
Kernel
Poďakovanie za pomoc si zaslúžia Antonio Frighetto z Polytechnickej univerzity v Miláne, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu, Proteas a Tielei Wang z tímu Pangu Lab.
Security
Poďakovanie za pomoc si zaslúžia Xingwei Lin z tímu Ant Security Light-Year Lab a john (@nyan_satan).
sysdiagnose
Poďakovanie za pomoc si zaslúži Tim Michaud (@TimGMichaud) zo spoločnosti Leviathan.
WebKit
Poďakovanie za pomoc si zaslúži Emilio Cobos Álvarez zo spoločnosti Mozilla.
WebSheet
Poďakovanie za pomoc si zaslúži Patrick Clover (nezávislý výskumník).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.