Informacije o sigurnosnom sadržaju sustava tvOS 14.7
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 14.7.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 14.7
Objavljeno 19. srpnja 2021.
Analytics
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni napadač mogao bi pristupiti analitičkim podacima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Unos je dodan 25. svibnja 2022.
App Store
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2021-31006: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 25. svibnja 2022.
Audio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30781: tr3e
AVEVideoEncoder
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30748: George Nosenko
Unos je dodan 19. siječnja 2022.
CoreAudio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30775: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: reprodukcija zlonamjerne audiodatoteke mogla je izazvati neočekivano zatvaranje aplikacije
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30776: JunDong Xie (Ant Security Light-Year Lab)
CoreText
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30789: Mickey Jin (@patch1t) (Trend Micro), Sunglin (tim Knownsec 404)
Crash Reporter
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30774: Yizhuo Wang (Group of Software Security In Progress (G.O.S.S.I.P)) sa šangajskog sveučilišta Jiao Tong
CVMS
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30780: Tim Michaud (@TimGMichaud) (Zoom Video Communications)
dyld
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30760: Sunglin (tim Knownsec 404)
FontParser
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne tiff datoteke moglo je doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30788: tr3e i inicijativa Zero Day (Trend Micro)
FontParser
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2021-30759: hjy79425575 u suradnji s projektom Zero Day Initiative (Trend Micro)
Identity Service
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija mogla bi zaobići provjere potpisivanja koda
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2021-30773: Linus Henze (pinauten.de)
Image Processing
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30802: Matthew Denton (Google Chrome Security)
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) (Baidu Security)
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2021-30785: CFF (Topsec Alpha Team), Mickey Jin (@patch1t) (Trend Micro)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-3518
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30758: Christoph Guttandin (Media Codings)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30795: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30797: Ivan Fratric (Google Project Zero)
Dodatna zahvala
Assets
Na pomoći zahvaljujemo Ceesu Elzingau.
CoreText
Željeli bismo zahvaliti Mickeyu Jinu (@patch1t) (Trend Micro) na pomoći.
Power Management
Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) (laboratorij Alibaba Security Pandora), Csabi Fitzlu (@theevilbit) i Lisandru Ubiedou (@_lubiedo) (laboratorij Stratosphere).
Unos je dodan 7. lipnja 2023.
Safari
Na pomoći zahvaljujemo anonimnom istraživaču.
Sandbox
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).
sysdiagnose
Na pomoći zahvaljujemo sljedećim korisnicima: Carter Jones (linkedin.com/in/carterjones/) i Tim Michaud(@TimGMichaud), Zoom Video Communications, Csaba Fitzl (@theevilbit), Offensive Security, Pan ZhenPeng(@Peterpan0927), Alibaba Security Pandora Lab i Wojciech Reguła (@_r3ggi), SecuRing.
Unos je dodan 25. svibnja 2022., a ažuriran je 16. srpnja 2024.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.