Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 14.7
Dátum vydania: 19. júla 2021
Analytics
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny útočník môže byť schopný získať prístup k analytickým dátam
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Dátum pridania záznamu: 25. mája 2022
App Store
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť určité nastavenia ochrany osobných údajov
Popis : Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2021-31006: Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 25. mája 2022
Audio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30781: tr3e
AVEVideoEncoder
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30748: George Nosenko
Dátum pridania záznamu: 19. januára 2022
CoreAudio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30775: JunDong Xie z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Prehrávanie zvukového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30776: JunDong Xie z tímu Ant Security Light-Year Lab
CoreText
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30789: Mickey Jin (@patch1t) zo spoločnosti Trend Micro, Sunglin z tímu Knownsec 404
Crash Reporter
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30774: Yizhuo Wang z tímu Group of Software Security In Progress (G.O.S.S.I.P) na Šanghajskej dopravnej univerzite
CVMS
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30780: Tim Michaud (@TimGMichaud) zo spoločnosti Zoom Video Communications
dyld
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30760: Sunglin z tímu Knownsec 404
FontParser
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru TIFF so škodlivým kódom môže viesť k odmietnutiu služby alebo potenciálnemu odhaleniu obsahu pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30788: tr3e v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
FontParser
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30759: hjy79425575 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Identity Service
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť kontroly podpisu kódu
Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.
CVE-2021-30773: Linus Henze (pinauten.de)
Image Processing
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30802: Matthew Denton (Google Chrome Security)
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) z tímu Baidu Security
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30785: CFF z tímu Topsec Alpha Team, Mickey Jin (@patch1t) zo spoločnosti Trend Micro
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Útočník so zlými úmyslami s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-3518
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2021-30758: Christoph Guttandin zo spoločnosti Media Codings
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30795: Sergei Glazunov z tímu Google Project Zero
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30797: Ivan Fratric z tímu Google Project Zero
Ďalšie poďakovanie
Assets
Poďakovanie za pomoc si zaslúži Cees Elzinga.
CoreText
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t) zo spoločnosti Trend Micro.
Power Management
Poďakovanie za pomoc si zaslúžia Pan ZhenPeng (@Peterpan0927) z tímu Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) a Lisandro Ubiedo (@_lubiedo) z tímu Stratosphere Lab.
Dátum pridania záznamu: 7. júna 2023
Safari
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Sandbox
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
sysdiagnose
Poďakovanie za pomoc si zaslúžia Carter Jones (linkedin.com/in/carterjones/) a Tim Michaud (@TimGMichaud) (Zoom Video Communications).
Dátum pridania záznamu: 25. mája 2022