tvOS 14.5'in güvenlik içeriği hakkında
Bu belgede tvOS 14.5'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
tvOS 14.5
AppleMobileFileIntegrity
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama, Gizlilik tercihlerini atlayabilir
Açıklama: Denetimler iyileştirilerek kod imzası doğrulamasındaki bir sorun giderildi.
CVE-2021-1849: Siguza
Assets
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Yerel bir kullanıcı ayrıcalıklı dosyalar oluşturabilir veya bunları değiştirebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1836: anonim bir araştırmacı
Audio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1808: Ant Security Light-Year Lab'den JunDong Xie
CFNetwork
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1857: anonim bir araştırmacı
CoreAudio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi sınırlandırılmış belleğin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-1846: Ant Security Light-Year Lab'den JunDong Xie
CoreAudio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1809: Ant Security Light-Year Lab'den JunDong Xie
CoreText
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1811: Ant Security Light-Year Lab'den Xingwei Lin
FontParser
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-1881: anonim bir araştırmacı, Ant Security Light-Year Lab'den Xingwei Lin, Trend Micro'dan Mickey Jin ve Qihoo 360'tan Hou JingYi (@hjy79425575)
Foundation
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2021-1813: Cees Elzinga
Heimdal
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş sunucu iletilerinin işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-1885: Topsec Alpha Team'den CFF
ImageIO
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2021-30653: Baidu Security'den Ye Zhang
CVE-2021-1843: Baidu Security'den Ye Zhang
ImageIO
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2021-1858: Trend Micro'dan Mickey Jin
iTunes Store
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: JavaScript çalıştırma olanağına sahip bir saldırgan rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2021-1864: Ant-Financial LightYear Labs'den CodeColorist
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1860: @0xalsr
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2021-1816: Pangu Lab'den Tielei Wang
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1851: @0xalsr
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kopyalanan dosyalar, beklenen dosya izinlerine sahip olmayabilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2021-1832: anonim bir araştırmacı
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama, çekirdek belleği açığa çıkarabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2021-30660: Alex Plaskett
libxpc
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2021-30652: James Hutchins
libxslt
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.
CVE-2021-1875: OSS-Fuzz tarafından bulundu
MobileInstallation
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1822: The Grizzly Labs'den Bruno Virlet
Preferences
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.
CVE-2021-1815: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
CVE-2021-1739: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
CVE-2021-1740: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
Tailspin
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1868: Zoom Communications'dan Tim Michaud
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1844: Google Threat Analysis Group'tan Clément Lecigne, Microsoft Browser Vulnerability Research'ten Alison Huffman
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2021-1825: Aon's Cyber Solutions'dan Alex Camboe
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2021-1817: zhunki
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-1826: anonim bir araştırmacı
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2021-1820: André Bargull
WebKit Storage
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2021-30661: 360 ATA'dan yangkang (@dnpushme)
Ek teşekkür listesi
Assets
Cees Elzinga'ya yardımı için teşekkür ederiz.
CoreAudio
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
CoreCrypto
Orange Group'tan Andy Russon'a yardımı için teşekkür ederiz.
Foundation
Ant-Financial LightYear Labs'den CodeColorist'e yardımı için teşekkür ederiz.
Kernel
Politecnico di Milano'dan Antonio Frighetto'ya, SensorFu'dan GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan ve Mikko Kenttälä'ya (@Turmio_), Pangu Lab'den Proteas ve Tielei Wang'e yardımları için teşekkür ederiz.
Security
John'a (@nyan_satan) ve Ant Security Light-Year Lab'den Xingwei Lin'e yardımları için teşekkür ederiz.
sysdiagnose
Leviathan'dan Tim Michaud'a (@TimGMichaud) yardımı için teşekkür ederiz.
WebKit
Mozilla'dan Emilio Cobos Álvarez'e yardımı için teşekkür ederiz.
WebSheet
Patrick Clover'a (bağımsız araştırmacı) yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.