tvOS 14.4'ün güvenlik içeriği hakkında

Bu belgede tvOS 14.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

tvOS 14.4

Yayınlanma tarihi: 26 Ocak 2021

Analiz

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-1761: Cees Elzinga

Giriş eklenme tarihi: 1 Şubat 2021

APFS

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Yerel bir kullanıcı rastgele dosyaları okuyabilir

Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.

CVE-2021-1797: Thomas Tempelmann

Giriş eklenme tarihi: 1 Şubat 2021

CoreAnimation

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama rastgele kod yürüterek kullanıcı bilgilerinin tehlikeye atılmasına neden olabiliyordu

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2021-1760: 360 Vulcan Team'den @S0rryMybad

Giriş eklenme tarihi: 1 Şubat 2021

CoreAudio

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-1747: Ant Security Light-Year Lab'den JunDong Xie

Giriş eklenme tarihi: 1 Şubat 2021

CoreGraphics

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-1776: Google Project Zero'dan Ivan Fratric

Giriş eklenme tarihi: 1 Şubat 2021

CoreMedia

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1759: Qihoo 360 CERT'ten Hou JingYi (@hjy79425575)

Giriş eklenme tarihi: 1 Şubat 2021

CoreText

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek yığın taşması sorunu giderildi.

CVE-2021-1772: Trend Micro'dan Mickey Jin (@patch1t) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 1 Şubat 2021, güncellenme tarihi: 16 Mart 2021

CoreText

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1792: Trend Micro'dan Mickey Jin ve Junzhi Lu (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 1 Şubat 2021, güncellenme tarihi: 16 Mart 2021

Çökme Raporlayıcı

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Yerel bir kullanıcı sistem dosyaları oluşturabilir veya bunları değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1786: Offensive Security'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 1 Şubat 2021

Çökme Raporlayıcı

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Mantık iyileştirilerek birden fazla sorun giderildi.

CVE-2021-1787: James Hutchins

Giriş eklenme tarihi: 1 Şubat 2021

FairPlay

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2021-1791: Trend Micro'dan Junzhi Lu (@pwn0rz), Qi Sun ve Mickey Jin (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 1 Şubat 2021, güncellenme tarihi: 16 Mart 2021

FontParser

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1758: STAR Labs'den Peter Nguyen

Giriş eklenme tarihi: 1 Şubat 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1818: Ant-Financial Light-Year Security Lab'den Xingwei Lin

Giriş eklenme tarihi: 16 Mart 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-1766: Carve Systems'den Danny Rosseau

Giriş eklenme tarihi: 1 Şubat 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1785: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2021-1744: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1818: Ant-Financial Light-Year Security Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-1742: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-1746: THEORI'den Jeonghoon Shin (@singi21a), Trend Micro'dan Mickey Jin ve Qi Sun (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-1754: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-1774: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-1777: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-1793: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021, güncellenme tarihi: 16 Mart 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1773: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1741: Ant Security Light-Year Lab'den Xingwei Lin

CVE-2021-1743: Trend Micro'dan Mickey Jin ve Junzhi Lu (Trend Micro'nun Zero Day Initiative programıyla), Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021, güncellenme tarihi: 16 Mart 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: curl'de sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2021-1778: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.

CVE-2021-1783: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 1 Şubat 2021

IOSkywalkFamily

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2021-1757: Alibaba Security'den Proteas ve Pan ZhenPeng (@Peterpan0927)

Giriş eklenme tarihi: 1 Şubat 2021

iTunes Store

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir URL'nin işlenmesi rastgele JavaScript kodu yürütülmesine neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2021-1748: Ant Security Light-Year Labs'den CodeColorist

Giriş eklenme tarihi: 1 Şubat 2021, güncellenme tarihi: 16 Mart 2021

Çekirdek

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2021-1764: @m00nbsd

Giriş eklenme tarihi: 1 Şubat 2021, güncellenme tarihi: 16 Mart 2021

Çekirdek

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Mantık iyileştirilerek birden fazla sorun giderildi.

CVE-2021-1750: @0xalsr

Giriş eklenme tarihi: 1 Şubat 2021

Çekirdek

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2021-1782: anonim bir araştırmacı

Swift

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Rastgele kod okuyup ve yazabilen kötü amaçlı bir saldırgan, İmleç Kimlik Doğrulaması'nı atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2021-1769: Ant-Financial Light-Year Labs'den CodeColorist

Giriş eklenme tarihi: 1 Şubat 2021

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2021-1788: Francisco Alonso (@revskills)

Giriş eklenme tarihi: 1 Şubat 2021, güncellenme tarihi: 16 Mart 2021

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2021-1789: 360 Vulcan Team'den @S0rryMybad

Giriş eklenme tarihi: 1 Şubat 2021

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriği, iFrame korumalı alan politikasını ihlal edebilir

Açıklama: iFrame korumalı alanının uygulanması iyileştirilerek bu sorun giderildi.

CVE-2021-1801: Confiant'tan Eliya Stein

Giriş eklenme tarihi: 1 Şubat 2021

WebRTC

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir web sitesi rastgele sunuculardaki sınırlanmış bağlantı noktalarına erişebilir

Açıklama: Bağlantı noktası yeniden yönlendirme sorunu, ek bağlantı noktası doğrulamasıyla giderildi.

CVE-2021-1799: Samy Kamkar; Armis Security'den Gregory Vishnepolsky ve Ben Seri

Giriş eklenme tarihi: 1 Şubat 2021

Ek teşekkür listesi

iTunes Store

Ant-Financial Light-Year Labs'den CodeColorist'e yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 1 Şubat 2021

Çekirdek

Trend Micro'dan Junzhi Lu (@pwn0rz), Mickey Jin ve Jesse Change'e yardımlarından dolayı teşekkür ederiz.

Giriş eklenme tarihi: 1 Şubat 2021

libpthread

Ant-Financial Light-Year Labs'den CodeColorist'e yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 1 Şubat 2021

Mağazada Demo

@08Tc3wBB'ye yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 1 Şubat 2021

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: