- Über den Sicherheitsinhalt von tvOS 14.5
Dieses Dokument beschreibt den Sicherheitsinhalt von tvOS 14.5.
Zum Schutz unserer Kunden veröffentlicht, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Versionen verfügbar sind. Die neuesten Versionen sind auf der Seite Apple Sicherheitsupdates aufgeführt.
In den Sicherheitsdokumenten von Apple werden die Schwachstellen, wenn möglich, mit der CVE-ID angegeben.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Sicherheit von Apple-Produkten.
Freigegeben 26. April 2021
AppleMobileFileIntegrity
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein bösartiges Programm kann möglicherweise die Datenschutzeinstellungen umgehen
Beschreibung: Ein Problem bei der Validierung von Codesignaturen wurde durch verbesserte Prüfungen behoben.
CVE-2021-1849: Siguza
Vermögenswerte
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein lokaler Benutzer ist möglicherweise in der Lage, privilegierte Dateien zu erstellen oder zu ändern
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1836: ein anonymer Forscher
Audio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1808: JunDong Xie von Ant Security Light-Year Lab
CFNetwork
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2021-1857: ein anonymer Forscher
Komprimierung
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Out-of-Bounds-Read wurde durch eine verbesserte Eingabevalidierung behoben
Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen.
CVE-2021-30752: Ye Zhang (@co0py_Cat) von Baidu Security
Eintrag hinzugefügt Juli 21, 2021
CoreAudio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann eingeschränkten Speicher freigeben
Beschreibung: Ein Out-of-bounds-Read wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2021-1846: JunDong Xie von Ant Security Light-Year Lab
CoreAudio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine bösartige Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1809: JunDong Xie von Ant Security Light-Year Lab
CoreAudio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben
Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen.
CVE-2021-30664: JunDong Xie von Ant Security Light-Year Lab
Eintrag hinzugefügt am 21. Juli 2021
CoreText
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Schriftart kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1811: Xingwei Lin von Ant Security Light-Year Lab
FontParser
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Schriftartdatei kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-bounds-Read wurde mit verbesserter Eingabevalidierung behoben.
CVE-2021-1881: ein anonymer Forscher, Xingwei Lin von Ant Security Light-Year Lab, Mickey Jin von Trend Micro und Hou JingYi (@hjy79425575) von Qihoo 360
Stiftung
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Rechte erlangen
Beschreibung: Ein Speicherkorruptionsproblem wurde mit verbesserter Validierung behoben.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Stiftung
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Logik behoben.
CVE-2021-1813: Cees Elzinga
Heimdal
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung böswillig gestalteter Server-Nachrichten kann zu Heap Corruption führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Eine Wettlaufsituation wurde mit verbessertem Locking adressiert.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2021-1885: CFF von Topsec Alpha Team
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30653: Ye Zhang von Baidu Security
CVE-2021-1843: Ye Zhang von Baidu Sicherheit
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2021-1858: Mickey Jin von Trend Micro
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Out-of-Bounds-Write wurde mit verbesserter Eingabevalidierung behoben
Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen.
CVE-2021-30743: Ye Zhang (@co0py_Cat) von Baidu Security, CFF von Topsec Alpha Team, Jzhu arbeitet mit Trend Micro Zero Day Initiative, Xingwei Lin von Ant Security Light-Year Lab, CFF von Topsec Alpha Team, Jeonghoon Shin (@singi21a) von THEORI arbeitet mit Trend Micro Zero Day Initiative, Jzhu arbeitet mit Trend Micro Zero Day Initiative
Eintrag hinzugefügt Juli 21, 2021
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Dieses Problem wurde durch verbesserte Prüfungen behoben
Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen.
CVE-2021-30764: Anonymous arbeitet mit der Trend Micro Zero Day Initiative zusammen
Eintrag hinzugefügt Juli 21, 2021
iTunes-Store
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Angreifer mit JavaScript-Ausführung kann möglicherweise beliebigen Code ausführen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-1864: CodeColorist von Ant-Financial LightYear Labs
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine bösartige Anwendung kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2021-1860: @0xalsr
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein bösartiges Programm könnte in der Lage sein, beliebigen Code mit den Rechten des Kernels auszuführen
Beschreibung: Ein Pufferüberlauf wurde mit einer verbesserten Grenzüberprüfung behoben.
CVE-2021-1816: Tielei Wang von Pangu Lab
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1851: @0xalsr
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Kopierte Dateien haben möglicherweise nicht die erwarteten Dateiberechtigungen
Beschreibung: Das Problem wurde durch eine verbesserte Berechtigungslogik behoben.
CVE-2021-1832: ein anonymer Forscher
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein bösartiges Programm kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Ein Out-of-Bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2021-30660: Alex Plaskett
libxpc
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Eine Race Condition wurde mit zusätzlicher Validierung behoben.
CVE-2021-30652: James Hutchins
libxslt
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu Heap Corruption führen
Beschreibung: Ein Double-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-1875: Gefunden von OSS-Fuzz
MobileInstallation
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein lokaler Benutzer kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1822: Bruno Virlet von The Grizzly Labs
Voreinstellungen
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein lokaler Benutzer kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein Parsing-Problem bei der Behandlung von Verzeichnispfaden wurde durch eine verbesserte Pfadvalidierung behoben.
CVE-2021-1815: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
Tailspin
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein lokaler Angreifer kann möglicherweise seine Privilegien erhöhen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1868: Tim Michaud von Zoom Communications
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1844: Clément Lecigne von der Threat Analysis Group von Google, Alison Huffman von Microsoft Browser Vulnerability Research
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen
Beschreibung: Ein Problem bei der Eingabevalidierung wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2021-1825: Alex Camboe von Aon's Cyber Solutions
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1817: zhunki
Eintrag aktualisiert am 6. Mai 2021
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1826: ein anonymer Forscher
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung böswillig gestalteter Webinhalte kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch verbesserte Speicherbehandlung behoben.
CVE-2021-1820: André Bargull
Eintrag aktualisiert am 6. Mai 2021
WebKit-Speicher
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv ausgenutzt worden sein könnte.
Beschreibung: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30661: yangkang(@dnpushme) von 360 ATA
WebRTC
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben
Beschreibung: Ein entfernter Angreifer könnte in der Lage sein, ein unerwartetes Beenden des Systems zu verursachen oder den Kernel-Speicher zu beschädigen.
CVE-2020-7463: Megan2013678
Eintrag hinzugefügt am 21. Juli 2021
Wi-Fi
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Logikproblem wurde mit verbesserter Statusverwaltung behoben
Beschreibung: Ein Pufferüberlauf kann zur Ausführung von beliebigem Code führen.
CVE-2021-1770: Jiska Classen (@naehrdine) vom Secure Mobile Networking Lab, TU Darmstadt
Eintrag hinzugefügt am 21. Juli 2021
Vermögenswerte
Wir möchten Cees Elzinga für seine Unterstützung danken.
Eintrag hinzugefügt am 6. Mai 2021
CoreAudio
Wir möchten uns bei einem anonymen Forscher für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
CoreCrypto
Wir möchten uns bei Andy Russon von Orange Group für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
Stiftung
Wir bedanken uns bei CodeColorist von Ant-Financial LightYear Labs für die Unterstützung.
Eintrag hinzugefügt am 6. Mai 2021
Kernel
Wir danken Antonio Frighetto vom Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) von SensorFu, Proteas, und Tielei Wang von Pangu Lab für ihre Unterstützung.
Eintrag hinzugefügt am 6. Mai 2021
Sicherheit
Wir möchten Xingwei Lin von Ant Security Light-Year Lab und John (@nyan_satan) für ihre Unterstützung danken.
Eintrag hinzugefügt am 6. Mai 2021
sysdiagnose
Wir möchten uns bei Tim Michaud (@TimGMichaud) von Leviathan für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
WebKit
Wir möchten uns bei Emilio Cobos Álvarez von Mozilla für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
WebSheet
Wir möchten uns bei Patrick Clover (unabhängiger Forscher) für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
Informationen über Produkte, die nicht von Apple hergestellt werden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet werden, werden ohne Empfehlung oder Befürwortung bereitgestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Verwendung von Websites oder Produkten Dritter. Apple gibt keine Zusicherungen hinsichtlich der Genauigkeit oder Zuverlässigkeit von Websites Dritter ab. Wenden Sie sich für weitere Informationen an den jeweiligen Anbieter.
Veröffentlichungsdatum: Juli 21, 2021
Über Apple Sicherheitsupdates
Zum Schutz unserer Kunden veröffentlicht, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Versionen verfügbar sind. Die neuesten Versionen sind auf der Seite Apple Sicherheitsupdates aufgeführt.
In den Sicherheitsdokumenten von Apple werden die Schwachstellen, wenn möglich, mit der CVE-ID angegeben.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Sicherheit von Apple-Produkten.
tvOS 14.5
Freigegeben 26. April 2021
AppleMobileFileIntegrity
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein bösartiges Programm kann möglicherweise die Datenschutzeinstellungen umgehen
Beschreibung: Ein Problem bei der Validierung von Codesignaturen wurde durch verbesserte Prüfungen behoben.
CVE-2021-1849: Siguza
Vermögenswerte
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein lokaler Benutzer ist möglicherweise in der Lage, privilegierte Dateien zu erstellen oder zu ändern
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1836: ein anonymer Forscher
Audio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1808: JunDong Xie von Ant Security Light-Year Lab
CFNetwork
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2021-1857: ein anonymer Forscher
Komprimierung
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Out-of-Bounds-Read wurde durch eine verbesserte Eingabevalidierung behoben
Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen.
CVE-2021-30752: Ye Zhang (@co0py_Cat) von Baidu Security
Eintrag hinzugefügt Juli 21, 2021
CoreAudio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann eingeschränkten Speicher freigeben
Beschreibung: Ein Out-of-bounds-Read wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2021-1846: JunDong Xie von Ant Security Light-Year Lab
CoreAudio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine bösartige Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1809: JunDong Xie von Ant Security Light-Year Lab
CoreAudio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben
Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen.
CVE-2021-30664: JunDong Xie von Ant Security Light-Year Lab
Eintrag hinzugefügt am 21. Juli 2021
CoreText
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Schriftart kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1811: Xingwei Lin von Ant Security Light-Year Lab
FontParser
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Schriftartdatei kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-bounds-Read wurde mit verbesserter Eingabevalidierung behoben.
CVE-2021-1881: ein anonymer Forscher, Xingwei Lin von Ant Security Light-Year Lab, Mickey Jin von Trend Micro und Hou JingYi (@hjy79425575) von Qihoo 360
Stiftung
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Rechte erlangen
Beschreibung: Ein Speicherkorruptionsproblem wurde mit verbesserter Validierung behoben.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Stiftung
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Logik behoben.
CVE-2021-1813: Cees Elzinga
Heimdal
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung böswillig gestalteter Server-Nachrichten kann zu Heap Corruption führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Eine Wettlaufsituation wurde mit verbessertem Locking adressiert.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2021-1885: CFF von Topsec Alpha Team
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-30653: Ye Zhang von Baidu Security
CVE-2021-1843: Ye Zhang von Baidu Sicherheit
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2021-1858: Mickey Jin von Trend Micro
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Out-of-Bounds-Write wurde mit verbesserter Eingabevalidierung behoben
Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen.
CVE-2021-30743: Ye Zhang (@co0py_Cat) von Baidu Security, CFF von Topsec Alpha Team, Jzhu arbeitet mit Trend Micro Zero Day Initiative, Xingwei Lin von Ant Security Light-Year Lab, CFF von Topsec Alpha Team, Jeonghoon Shin (@singi21a) von THEORI arbeitet mit Trend Micro Zero Day Initiative, Jzhu arbeitet mit Trend Micro Zero Day Initiative
Eintrag hinzugefügt Juli 21, 2021
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Dieses Problem wurde durch verbesserte Prüfungen behoben
Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen.
CVE-2021-30764: Anonymous arbeitet mit der Trend Micro Zero Day Initiative zusammen
Eintrag hinzugefügt Juli 21, 2021
iTunes-Store
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Angreifer mit JavaScript-Ausführung kann möglicherweise beliebigen Code ausführen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-1864: CodeColorist von Ant-Financial LightYear Labs
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine bösartige Anwendung kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2021-1860: @0xalsr
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein bösartiges Programm könnte in der Lage sein, beliebigen Code mit den Rechten des Kernels auszuführen
Beschreibung: Ein Pufferüberlauf wurde mit einer verbesserten Grenzüberprüfung behoben.
CVE-2021-1816: Tielei Wang von Pangu Lab
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1851: @0xalsr
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Kopierte Dateien haben möglicherweise nicht die erwarteten Dateiberechtigungen
Beschreibung: Das Problem wurde durch eine verbesserte Berechtigungslogik behoben.
CVE-2021-1832: ein anonymer Forscher
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein bösartiges Programm kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Ein Out-of-Bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2021-30660: Alex Plaskett
libxpc
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Eine Race Condition wurde mit zusätzlicher Validierung behoben.
CVE-2021-30652: James Hutchins
libxslt
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu Heap Corruption führen
Beschreibung: Ein Double-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-1875: Gefunden von OSS-Fuzz
MobileInstallation
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein lokaler Benutzer kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1822: Bruno Virlet von The Grizzly Labs
Voreinstellungen
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein lokaler Benutzer kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein Parsing-Problem bei der Behandlung von Verzeichnispfaden wurde durch eine verbesserte Pfadvalidierung behoben.
CVE-2021-1815: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
Tailspin
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein lokaler Angreifer kann möglicherweise seine Privilegien erhöhen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1868: Tim Michaud von Zoom Communications
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1844: Clément Lecigne von der Threat Analysis Group von Google, Alison Huffman von Microsoft Browser Vulnerability Research
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen
Beschreibung: Ein Problem bei der Eingabevalidierung wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2021-1825: Alex Camboe von Aon's Cyber Solutions
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1817: zhunki
Eintrag aktualisiert am 6. Mai 2021
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1826: ein anonymer Forscher
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung böswillig gestalteter Webinhalte kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch verbesserte Speicherbehandlung behoben.
CVE-2021-1820: André Bargull
Eintrag aktualisiert am 6. Mai 2021
WebKit-Speicher
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv ausgenutzt worden sein könnte.
Beschreibung: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30661: yangkang(@dnpushme) von 360 ATA
WebRTC
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben
Beschreibung: Ein entfernter Angreifer könnte in der Lage sein, ein unerwartetes Beenden des Systems zu verursachen oder den Kernel-Speicher zu beschädigen.
CVE-2020-7463: Megan2013678
Eintrag hinzugefügt am 21. Juli 2021
Wi-Fi
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkungen: Ein Logikproblem wurde mit verbesserter Statusverwaltung behoben
Beschreibung: Ein Pufferüberlauf kann zur Ausführung von beliebigem Code führen.
CVE-2021-1770: Jiska Classen (@naehrdine) vom Secure Mobile Networking Lab, TU Darmstadt
Eintrag hinzugefügt am 21. Juli 2021
Zusätzliche Erkennung
Vermögenswerte
Wir möchten Cees Elzinga für seine Unterstützung danken.
Eintrag hinzugefügt am 6. Mai 2021
CoreAudio
Wir möchten uns bei einem anonymen Forscher für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
CoreCrypto
Wir möchten uns bei Andy Russon von Orange Group für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
Stiftung
Wir bedanken uns bei CodeColorist von Ant-Financial LightYear Labs für die Unterstützung.
Eintrag hinzugefügt am 6. Mai 2021
Kernel
Wir danken Antonio Frighetto vom Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) von SensorFu, Proteas, und Tielei Wang von Pangu Lab für ihre Unterstützung.
Eintrag hinzugefügt am 6. Mai 2021
Sicherheit
Wir möchten Xingwei Lin von Ant Security Light-Year Lab und John (@nyan_satan) für ihre Unterstützung danken.
Eintrag hinzugefügt am 6. Mai 2021
sysdiagnose
Wir möchten uns bei Tim Michaud (@TimGMichaud) von Leviathan für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
WebKit
Wir möchten uns bei Emilio Cobos Álvarez von Mozilla für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
WebSheet
Wir möchten uns bei Patrick Clover (unabhängiger Forscher) für seine Unterstützung bedanken.
Eintrag hinzugefügt am 6. Mai 2021
Informationen über Produkte, die nicht von Apple hergestellt werden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet werden, werden ohne Empfehlung oder Befürwortung bereitgestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Verwendung von Websites oder Produkten Dritter. Apple gibt keine Zusicherungen hinsichtlich der Genauigkeit oder Zuverlässigkeit von Websites Dritter ab. Wenden Sie sich für weitere Informationen an den jeweiligen Anbieter.
Veröffentlichungsdatum: Juli 21, 2021