Informazioni sui contenuti di sicurezza di tvOS 14.7

In questo documento vengono descritti i contenuti di sicurezza di tvOS 14.7.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 14.7

Data di rilascio: 19 luglio 2021

Analytics

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato locale può riuscire ad accedere ai dati analitici.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Voce aggiunta il 25 maggio 2022

App Store

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2021-31006: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 25 maggio 2022

Audio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30781: tr3e

AVEVideoEncoder

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30748: George Nosenko

Voce aggiunta il 19 gennaio 2022

CoreAudio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30775: JunDong Xie di Ant Security Light-Year Lab

CoreAudio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: la riproduzione di un file audio dannoso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2021-30776: JunDong Xie di Ant Security Light-Year Lab

CoreText

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30789: Mickey Jin (@patch1t) di Trend Micro, Sunglin del team di Knownsec 404

Crash Reporter

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2021-30774: Yizhuo Wang di Group of Software Security In Progress (G.O.S.S.I.P) della Shanghai Jiao Tong University

CVMS

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30780: Tim Michaud (@TimGMichaud) di Zoom Video Communications

dyld

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2021-30768: Linus Henze (pinauten.de)

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2021-30760: Sunglin del team di Knownsec 404

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file tiff dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30788: tr3e in collaborazione con Zero Day Initiative di Trend Micro

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30759: hjy79425575 in collaborazione con Zero Day Initiative di Trend Micro

Identity Service

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione pericolosa può ignorare i controlli di firma del codice.

Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.

CVE-2021-30773: Linus Henze (pinauten.de)

Image Processing

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30802: Matthew Denton di Google Chrome Security

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) di Baidu Security

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2021-30785: CFF di Topsec Alpha Team, Mickey Jin (@patch1t) di Trend Micro

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30769: Linus Henze (pinauten.de)

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2021-30770: Linus Henze (pinauten.de)

libxml2

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-3518

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30758: Christoph Guttandin di Media Codings

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30795: Sergei Glazunov di Google Project Zero

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30797: Ivan Fratric di Google Project Zero

Altri riconoscimenti

Assets

Ringraziamo Cees Elzinga per l'assistenza.

CoreText

Ringraziamo Mickey Jin (@patch1t) di Trend Micro per l'assistenza.

Power Management

Ringraziamo Pan ZhenPeng(@Peterpan0927) di Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) e Lisandro Ubiedo (@_lubiedo) di Stratosphere Lab per l'assistenza.

Voce aggiunta il 7 giugno 2023

Safari

Ringraziamo un ricercatore anonimo per l'assistenza.

Sandbox

Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.

sysdiagnose

Ringraziamo Carter Jones (linkedin.com/in/carterjones/) e Tim Michaud (@TimGMichaud) di Zoom Video Communications, Csaba Fitzl (@theevilbit) di Offensive Security, Pan ZhenPeng (@Peterpan0927) di Alibaba Security Pandora Lab e Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.

Voce aggiunta il 25 maggio 2022, aggiornata il 16 luglio 2024

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: