Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 14.5
Dátum vydania: 26. apríla 2021
AppleMobileFileIntegrity
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.
CVE-2021-1849: Siguza
Assets
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný vytvárať alebo upravovať privilegované súbory
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-1836: Anonymný výskumník
Audio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1808: JunDong Xie z tímu Ant Security Light-Year Lab
CFNetwork
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1857: anonymný výskumník
CoreAudio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1846: JunDong Xie z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1809: JunDong Xie z tímu Ant Security Light-Year Lab
CoreText
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1811: Xingwei Lin z tímu Ant Security Light-Year Lab
FontParser
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1881: anonymný výskumník, Xingwei Lin z tímu Ant Security Light-Year Lab, Mickey Jin zo spoločnosti Trend Micro a Hou JingYi (@hjy79425575) z tímu Qihoo 360
Foundation
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Škodlivá apka môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2021-1813: Cees Elzinga
Heimdal
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie serverových správ so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1885: CFF z tímu Topsec Alpha Team
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30653: Ye Zhang z tímu Baidu Security
CVE-2021-1843: Ye Zhang z tímu Baidu Security
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1858: Mickey Jin zo spoločnosti Trend Micro
iTunes Store
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Útočník s možnosťou spustenia JavaScriptu môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-1864: CodeColorist z tímu Ant-Financial LightYear Labs
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1860: @0xalsr
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1816: Tielei Wang z tímu Pangu Lab
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1851: @0xalsr
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Kopírované súbory nemusia mať očakávané povolenia súboru
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2021-1832: anonymný výskumník
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30660: Alex Plaskett
libxpc
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Škodlivá apka môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2021-30652: James Hutchins
libxslt
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1875: Nájdené službou OSS-Fuzz
MobileInstallation
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-1822: Bruno Virlet z tímu The Grizzly Labs
Preferences
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2021-1815: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)
Tailspin
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1868: Tim Michaud zo spoločnosti Zoom Communications
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1844: Clément Lecigne z tímu Threat Analysis Group spoločnosti Google, Alison Huffman z tímu Microsoft Browser Vulnerability Research
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1825: Alex Camboe z tímu Cyber Solutions spoločnosti Aon
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1817: zhunki
Dátum aktualizovania záznamu: 6. mája 2021
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-1826: anonymný výskumník
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1820: André Bargull
Dátum aktualizovania záznamu: 6. mája 2021
WebKit Storage
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30661: yangkang (@dnpushme) zo spoločnosti 360 ATA
Ďalšie poďakovanie
Assets
Poďakovanie za pomoc si zaslúži Cees Elzinga.
Dátum pridania záznamu: 6. mája 2021
CoreAudio
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 6. mája 2021
CoreCrypto
Poďakovanie za pomoc si zaslúži Andy Russon zo spoločnosti Orange Group.
Dátum pridania záznamu: 6. mája 2021
Foundation
Poďakovanie za pomoc si zaslúži CodeColorist z tímu Ant-Financial LightYear Labs.
Dátum pridania záznamu: 6. mája 2021
Kernel
Poďakovanie za pomoc si zaslúžia Antonio Frighetto z Polytechnickej univerzity v Miláne, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu, Proteas a Tielei Wang z tímu Pangu Lab.
Dátum pridania záznamu: 6. mája 2021
Security
Poďakovanie za pomoc si zaslúžia Xingwei Lin z tímu Ant Security Light-Year Lab a john (@nyan_satan).
Dátum pridania záznamu: 6. mája 2021
sysdiagnose
Poďakovanie za pomoc si zaslúži Tim Michaud (@TimGMichaud) zo spoločnosti Leviathan.
Dátum pridania záznamu: 6. mája 2021
WebKit
Poďakovanie za pomoc si zaslúži Emilio Cobos Álvarez zo spoločnosti Mozilla.
Dátum pridania záznamu: 6. mája 2021
WebSheet
Poďakovanie za pomoc si zaslúži Patrick Clover (nezávislý výskumník).
Dátum pridania záznamu: 6. mája 2021