Om säkerhetsinnehållet i tvOS 14.4
I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 14.4.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
tvOS 14.4
Analysverktyg
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2021-1761: Cees Elzinga
APFS
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En lokal användare kan läsa opålitliga filer
Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2021-1797: Thomas Tempelmann
CoreAnimation
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Ett skadligt program kan köra opålitlig kod, vilket kan leda till att användarinformation avslöjas
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1760: @S0rryMybad på 360 Vulcan Team
CoreAudio
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av kod
Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-1747: JunDong Xie på Ant Security Light-Year Lab
CoreGraphics
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-1776: Ivan Fratric på Google Project Zero
CoreMedia
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-1759: Hou JingYi (@hjy79425575) på Qihoo 360 CERT
CoreText
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en textfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.
CVE-2021-1772: Mickey Jin (@patch1t) på Trend Micro i samarbete med Trend Micros Zero Day Initiative
CoreText
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En fjärrangripare kan orsaka körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-1792: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative
Crash Reporter
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En lokal användare kan skapa och ändra systemfiler
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1786: Csaba Fitzl (@theevilbit) på Offensive Security
Crash Reporter
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En lokal angripare kan höja sin behörighet
Beskrivning: Flera problem åtgärdades med förbättrad logik.
CVE-2021-1787: James Hutchins
FairPlay
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Ett program med skadligt innehåll kan komma åt kernelminnet
Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun och Mickey Jin på Trend Micro i samarbete med Trend Micros Zero Day Initiative
FontParser
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En fjärrangripare kan orsaka körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-1758: Peter Nguyen på STAR Labs
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1818: Xingwei Lin på Ant-financial Light-Year Security Lab
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2021-1766: Danny Rosseau på Carve Systems
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-1785: Xingwei Lin på Ant Security Light-Year Lab
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-1744: Xingwei Lin på Ant Security Light-Year Lab
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1818: Xingwei Lin på Ant-financial Light-Year Security Lab
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2021-1742: Xingwei Lin på Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin(@singi21a) på THEORI, Mickey Jin & Qi Sun på Trend Micro i samarbete med Trend Micros Zero Day Initiative, Xingwei Lin på Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin på Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin på Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin på Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin på Ant Security Light-Year Lab
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1773: Xingwei Lin på Ant Security Light-Year Lab
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-1741: Xingwei Lin på Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative, Xingwei Lin på Ant Security Light-Year Lab
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp
Beskrivning: Ett problem med läsning utanför gränserna fanns i curl. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-2021-1778: Xingwei Lin på Ant Security Light-Year Lab
ImageIO
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.
CVE-2021-1783: Xingwei Lin på Ant Security Light-Year Lab
IOSkywalkFamily
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En lokal angripare kan höja sin behörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-1757: Proteas och Pan ZhenPeng (@Peterpan0927) på Alibaba Security
iTunes Store
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av en skadlig URL kan leda till körning av opålitlig javascript-kod
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2021-1748: CodeColorist i samarbete med Ant Security Light-Year Labs
Kernel
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2021-1764: @m00nbsd
Kernel
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Flera problem åtgärdades med förbättrad logik.
CVE-2021-1750: @0xalsr
Kernel
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Ett program med skadligt innehåll kan höja behörigheter. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2021-1782: en anonym forskare
Swift
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En angripare med godtycklig läs- och skrivkapacitet kan kringgå pekarautentisering
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2021-1769: CodeColorist på Ant-Financial Light-Year Labs
WebKit
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.
CVE-2021-1789: @S0rryMybad på 360 Vulcan Team
WebKit
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Skadligt webbinnehåll kan bryta mot policyn för sandlådefunktioner för iframe
Beskrivning: Problemet åtgärdades genom förbättrat upprätthållande av iframe-sandlåda.
CVE-2021-1801: Eliya Stein of Confiant
WebRTC
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En webbplats med skadligt innehåll kan komma åt portar med begränsad åtkomst på godtyckliga servrar
Beskrivning: En problem med omdirigering av portar åtgärdades med ytterligare portvalidering.
CVE-2021-1799: Gregory Vishnepolsky och Ben Seri på Armis Security och Samy Kamkar
Ytterligare tack
iTunes Store
Vi vill tacka CodeColorist på Ant-Financial Light-Year Labs för hjälpen.
Kernel
Vi vill tacka Junzhi Lu (@pwn0rz), Mickey Jin och Jesse Change på Trend Micro för hjälpen.
libpthread
Vi vill tacka CodeColorist på Ant-Financial Light-Year Labs för hjälpen.
Butiksdemo
Vi vill tacka @08Tc3wBB för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.