Obsah zabezpečenia v systéme tvOS 14.6
V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 14.6.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 14.6
Audio
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30707: hjy79425575 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Audio
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Analýza zvukového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30685: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
CoreAudio
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30686: Mickey Jin zo spoločnosti Trend Micro
CoreText
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Dochádzalo k problému s čítaním dát mimo buffra, ktorý bol vyriešený vylepšením overovania vstupu
Popis: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte.
CVE-2021-30753: Xingwei Lin z tímu Ant Security Light-Year Lab
CVE-2021-30733: Sunglin z tímu Knownsec 404
Crash Reporter
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30727: Cees Elzinga
CVMS
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30724: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
FontParser
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30771: Mickey Jin (@patch1t) zo spoločnosti Trend Micro, CFF z tímu Topsec Alpha Team
FontParser
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Dochádzalo k problému s čítaním dát mimo buffra, ktorý bol vyriešený vylepšením overovania vstupu
Popis: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte.
CVE-2021-30755: Xingwei Lin z tímu Ant Security Light-Year Lab
Heimdal
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia so škodlivým kódom môže spôsobiť odmietnutie služby alebo potenciálne sprístupniť obsah pamäte
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30687: Hou JingYi (@hjy79425575) zo spoločnosti Qihoo 360
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30700: Ye Zhang (@co0py_Cat) z tímu Baidu Security
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30701: Mickey Jin (@patch1t) zo spoločnosti Trend Micro a Ye Zhang z tímu Baidu Security
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie súboru ASTC so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30705: Ye Zhang z tímu Baidu Security
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Tento problém bol vyriešený vylepšením kontrol
Popis: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa.
CVE-2021-30706: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30704: Anonymný výskumník
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30715: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2021-30736: Ian Beer z tímu Google Project Zero
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte
Popis: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra.
CVE-2021-30703: Anonymný výskumník
LaunchServices
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia so škodlivým kódom môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-2021-30677: Ron Waisberg (@epsilan)
Security
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Problém súvisiaci s poškodením pamäte v dekodéri ASN.1 bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2021-30737: xerub
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30665: yangkang (@dnpushme), zerokeeper a bianliang z tímu 360 ATA
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s prvkami iframe rôzneho pôvodu, ktorý bol vyriešený vylepšením sledovania pôvodu z hľadiska zabezpečenia.
CVE-2021-30744: Dan Hite z tímu jsontop
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-21779: Marcin Towalski zo spoločnosti Cisco Talos
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia so škodlivým kódom môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30682: Anonymný výskumník a 1lastBr3ath
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30689: Anonymný výskumník
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2021-30749: Anonymný výskumník a mipu94 z laboratória SEFCOM, ASU. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2021-30734: Jack Dates zo spoločnosti RET2 Systems, Inc. (@ret2systems) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Webová stránka so škodlivým kódom môže byť schopná získať prístup k obmedzeným portom na ľubovoľných serveroch
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30720: David Schütz (@xdavidhu)
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30663: Anonymný výskumník
Ďalšie poďakovanie
ImageIO
Poďakovanie za pomoc si zaslúži Jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a anonymný výskumník.
WebKit
Poďakovanie za pomoc si zaslúži Chris Salls (@salls) z tímu Makai Security.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.