เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 14.7
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 14.7
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
tvOS 14.7
Analytics
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าถึงข้อมูลการวิเคราะห์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
App Store
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตั้งค่าความเป็นส่วนตัวบางรายการได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-31006: Csaba Fitzl (@theevilbit) จาก Offensive Security
Audio
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-30781: tr3e
AVEVideoEncoder
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-30748: George Nosenko
CoreAudio
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-30775: JunDong Xie จาก Ant Security Light-Year Lab
CoreAudio
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดหมาย
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-30776: JunDong Xie จาก Ant Security Light-Year Lab
CoreText
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-30789: Mickey Jin (@patch1t) จาก Trend Micro, Sunglin จากทีม Knownsec 404
Crash Reporter
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-30774: Yizhuo Wang จาก Group of Software Security In Progress (G.O.S.S.I.P) จาก Shanghai Jiao Tong University
CVMS
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-30780: Tim Michaud(@TimGMichaud) จาก Zoom Video Communications
dyld
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-30760: Sunglin จาก Knownsec 404 team
FontParser
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลไฟล์ tiff ที่จัดทำขึ้นด้วยประสงค์ร้ายอาจนำไปสู่ปัญหาการปฏิเสธการให้บริการหรืออาจเปิดเผยเนื้อหาหน่วยความจำ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-30788: tr3e ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
FontParser
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: อาการสแต็คล้นได้รับการแก้ไขผ่านการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-30759: hjy79425575 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Identity Service
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถบายพาสการตรวจสอบการลงชื่อรหัสได้
คำอธิบาย: ปัญหาในการตรวจสอบความถูกต้องลายเซ็นโค้ดได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดีขึ้น
CVE-2021-30773: Linus Henze (pinauten.de)
Image Processing
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-30802: Matthew Denton จาก Google Chrome Security
ImageIO
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-30779: Jzhu, Ye Zhang(@co0py_Cat) จาก Baidu Security
ImageIO
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2021-30785: CFF จาก Topsec Alpha Team, Mickey Jin (@patch1t) จาก Trend Micro
Kernel
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายที่มีความสามารถในการอ่านและการเขียนข้อมูลโดยอำเภอใจอาจสามารถบายพาสการตรวจสอบตัวชี้ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: ผู้โจมตีที่มีการใช้รหัสเคอร์เนลแล้วอาจสามารถบายพาสการบรรเทาปัญหาหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-3518
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2021-30758: Christoph Guttandin จาก Media Codings
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2021-30795: Sergei Glazunov จาก Google Project Zero
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-30797: Ivan Fratric จาก Google Project Zero
คำขอบคุณพิเศษ
Assets
เราขอขอบคุณสำหรับความช่วยเหลือจาก Cees Elzinga
CoreText
เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t) จาก Trend Micro
Power Management
เราขอขอบคุณสำหรับความช่วยเหลือจาก Pan ZhenPeng(@Peterpan0927) จาก Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) และ Lisandro Ubiedo (@_lubiedo) จาก Stratosphere Lab
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Sandbox
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security
sysdiagnose
เราขอขอบคุณสำหรับความช่วยเหลือจาก Carter Jones (linkedin.com/in/carterjones/) และ Tim Michaud (@TimGMichaud) จาก Zoom Video Communications
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม