Om säkerhetsinnehållet i tvOS 14.4

I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 14.4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

tvOS 14.4

Släpptes 26 januari 2021

Analysverktyg

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1761: Cees Elzinga

Lades till 1 februari 2021

APFS

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En lokal användare kan läsa opålitliga filer

Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2021-1797: Thomas Tempelmann

Lades till 1 februari 2021

CoreAnimation

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Ett skadligt program kan köra opålitlig kod, vilket kan leda till att användarinformation avslöjas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1760: @S0rryMybad på 360 Vulcan Team

Lades till 1 februari 2021

CoreAudio

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1747: JunDong Xie på Ant Security Light-Year Lab

Lades till 1 februari 2021

CoreGraphics

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1776: Ivan Fratric på Google Project Zero

Lades till 1 februari 2021

CoreMedia

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1759: Hou JingYi (@hjy79425575) på Qihoo 360 CERT

Lades till 1 februari 2021

CoreText

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en textfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2021-1772: Mickey Jin (@patch1t) på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Lades till 1 februari 2021, uppdaterades 16 mars 2021

CoreText

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1792: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Lades till 1 februari 2021, uppdaterades 16 mars 2021

Crash Reporter

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En lokal användare kan skapa och ändra systemfiler

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1786: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 1 februari 2021

Crash Reporter

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En lokal angripare kan höja sin behörighet

Beskrivning: Flera problem åtgärdades med förbättrad logik.

CVE-2021-1787: James Hutchins

Lades till 1 februari 2021

FairPlay

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Ett program med skadligt innehåll kan komma åt kernelminnet

Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun och Mickey Jin på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Lades till 1 februari 2021, uppdaterades 16 mars 2021

FontParser

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1758: Peter Nguyen på STAR Labs

Lades till 1 februari 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1818: Xingwei Lin på Ant-financial Light-Year Security Lab

Lades till 16 mars 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1766: Danny Rosseau på Carve Systems

Lades till 1 februari 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1785: Xingwei Lin på Ant Security Light-Year Lab

Lades till 1 februari 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1744: Xingwei Lin på Ant Security Light-Year Lab

Lades till 1 februari 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1818: Xingwei Lin på Ant-financial Light-Year Security Lab

Lades till 1 februari 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-1742: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin(@singi21a) på THEORI, Mickey Jin & Qi Sun på Trend Micro i samarbete med Trend Micros Zero Day Initiative, Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin på Ant Security Light-Year Lab

Lades till 1 februari 2021, uppdaterades 16 mars 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1773: Xingwei Lin på Ant Security Light-Year Lab

Lades till 1 februari 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1741: Xingwei Lin på Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin och Junzhi Lu på Trend Micro i samarbete med Trend Micros Zero Day Initiative, Xingwei Lin på Ant Security Light-Year Lab

Lades till 1 februari 2021, uppdaterades 16 mars 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Ett problem med läsning utanför gränserna fanns i curl. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2021-1778: Xingwei Lin på Ant Security Light-Year Lab

Lades till 1 februari 2021

ImageIO

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.

CVE-2021-1783: Xingwei Lin på Ant Security Light-Year Lab

Lades till 1 februari 2021

IOSkywalkFamily

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En lokal angripare kan höja sin behörighet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1757: Proteas och Pan ZhenPeng (@Peterpan0927) på Alibaba Security

Lades till 1 februari 2021

iTunes Store

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av en skadlig URL kan leda till körning av opålitlig javascript-kod

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2021-1748: CodeColorist i samarbete med Ant Security Light-Year Labs

Lades till 1 februari 2021, uppdaterades 16 mars 2021

Kernel

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-1764: @m00nbsd

Lades till 1 februari 2021, uppdaterades 16 mars 2021

Kernel

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Flera problem åtgärdades med förbättrad logik.

CVE-2021-1750: @0xalsr

Lades till 1 februari 2021

Kernel

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Ett program med skadligt innehåll kan höja behörigheter. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2021-1782: en anonym forskare

Swift

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En angripare med godtycklig läs- och skrivkapacitet kan kringgå pekarautentisering

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-1769: CodeColorist på Ant-Financial Light-Year Labs

Lades till 1 februari 2021

WebKit

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-1788: Francisco Alonso (@revskills)

Lades till 1 februari 2021, uppdaterades 16 mars 2021

WebKit

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2021-1789: @S0rryMybad på 360 Vulcan Team

Lades till 1 februari 2021

WebKit

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: Skadligt webbinnehåll kan bryta mot policyn för sandlådefunktioner för iframe

Beskrivning: Problemet åtgärdades genom förbättrat upprätthållande av iframe-sandlåda.

CVE-2021-1801: Eliya Stein of Confiant

Lades till 1 februari 2021

WebRTC

Tillgängligt för: Apple TV 4K och Apple TV HD

Effekt: En webbplats med skadligt innehåll kan komma åt portar med begränsad åtkomst på godtyckliga servrar

Beskrivning: En problem med omdirigering av portar åtgärdades med ytterligare portvalidering.

CVE-2021-1799: Gregory Vishnepolsky och Ben Seri på Armis Security och Samy Kamkar

Lades till 1 februari 2021

Ytterligare tack

iTunes Store

Vi vill tacka CodeColorist på Ant-Financial Light-Year Labs för hjälpen.

Lades till 1 februari 2021

Kernel

Vi vill tacka Junzhi Lu (@pwn0rz), Mickey Jin och Jesse Change på Trend Micro för hjälpen.

Lades till 1 februari 2021

libpthread

Vi vill tacka CodeColorist på Ant-Financial Light-Year Labs för hjälpen.

Lades till 1 februari 2021

Butiksdemo

Vi vill tacka @08Tc3wBB för hjälpen.

Lades till 1 februari 2021

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: