Om sikkerhedsindholdet i tvOS 13.4.8
I dette dokument beskrives sikkerhedsindholdet i tvOS 13.4.8.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
tvOS 13.4.8
Audio
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2020-9884: Yu Zhou (@yuzhou6666) fra 小鸡帮, der arbejder sammen med Trend Micros Zero Day Initiative
CVE-2020-9889: Anonym programmør, der arbejder sammen med Trend Micros Zero Day Initiative, JunDong Xie og XingWei Lin fra Ant-Financial Light-Year Security Lab
Audio
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-9888: JunDong Xie og XingWei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie og XingWei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie og XingWei Lin fra Ant-Financial Light-Year Security Lab
AVEVideoEncoder
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.
CVE-2020-9907: 08Tc3wBB, der arbejder sammen med ZecOps
CoreGraphics
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2020-9883: En anonym programmør, Mickey Jin fra Trend Micro
Crash Reporter
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.
CVE-2020-9865: Zhuo Liang fra Qihoo 360 Vulcan Team, der arbejder sammen med 360 BugCloud
Crash Reporter
Fås til: Apple TV 4K og Apple TV HD
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Der var et problem med stigodkendelseslogikken for symbolske links. Problemet blev løst med forbedret stirensning.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) fra Zero-dayits-holdet hos Legendsec under Qi'anxin Group
FontParser
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2020-9980: Xingwei Lin fra Ant Security Light-Year Lab
GeoServices
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt program kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2020-9933: Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc.
iAP
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker med en privilegeret netværksposition kan muligvis udføre et DoS-angreb (Denial-of-Service) ved hjælp af skadelige Bluetooth-pakker
Beskrivelse: Der var et problem med godkendelse af input i Bluetooth. Problemet er løst ved forbedret inputvalidering.
CVE-2020-9914: Andy Davis fra NCC Group
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2020-27933: Xingwei Lin fra Ant-Financial Light-Year Security Lab
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Der var flere problemer med bufferoverløb i openEXR
Beskrivelse: Flere problemer i openEXR blev løst med forbedret kontrol.
CVE-2020-11758: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin fra Ant-Financial Light-Year Security Lab
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2020-9871: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin fra Trend Micro
CVE-2020-9937: Xingwei Lin fra Ant-Financial Light-Year Security Lab
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2020-9919: Mickey Jin fra Trend Micro
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2020-9876: Mickey Jin fra Trend Micro
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2020-9873: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin fra Ant-Financial Light-Year Security Lab
CVE-2020-9984: en anonym programmør
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-9877: Xingwei Lin fra Ant-Financial Light-Year Security Lab
ImageIO
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2020-9875: Mickey Jin fra Trend Micro
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker i en privilegeret netværksposition kan muligvis indsætte i aktive forbindelser i en VPN-tunnel
Beskrivelse: Et routingproblem er løst via forbedrede begrænsninger.
CVE-2019-14899: William J. Tolley, Beau Kujath og Jedidiah R. Crandall
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-9909: Brandon Azad fra Google Project Zero
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2020-9904: Tielei Wang fra Pangu Lab
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.
CVE-2020-9863: Xinru Chi fra Pangu Lab
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret statusadministration.
CVE-2020-9892: Andy Nguyen fra Google
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-9902: Xinru Chi og Tielei Wang fra Pangu Lab
Kernel
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2020-9905: Raz Mashat (@RazMashat) fra ZecOps
libxml2
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandlingen af skadeligt XML-indhold kan forårsage en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2020-9926: Fundet af OSS-Fuzz
Model I/O
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2020-9880: Holger Fuhrmannek fra Deutsche Telekom Security
Model I/O
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandlingen af et skadeligt USD-arkiv kan muligvis medføre uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2020-9878: Aleksandar Nikolic fra Cisco Talos, Holger Fuhrmannek fra Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek fra Deutsche Telekom Security
Security
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker har muligvis været i stand til at udgive sig for at være et betroet websted ved hjælp af delt nøglemateriale til et administratortilføjet certifikat
Beskrivelse: Der var et problem med godkendelse af administratortilføjede certifikater. Problemet er løst ved forbedret godkendelse af certifikater.
CVE-2020-9868: Brian Wolff fra Asana
sysdiagnose
Fås til: Apple TV 4K og Apple TV HD
Effekt: En lokal hacker kan opnå hævede rettigheder
Beskrivelse: Der var et problem med stigodkendelseslogikken for symbolske links. Problemet blev løst med forbedret stirensning.
CVE-2020-9901: Tim Michaud (@TimGMichaud) fra Leviathan, Zhongcheng Li (CK01) fra Zero-dayits-holdet hos Legendsec under Qi'anxin Group
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2020-9894: 0011, der arbejder sammen med Trend Micros Zero Day Initiative
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet
Beskrivelse: Der var et adgangsproblem i sikkerhedspolitikken for indhold. Problemet blev løst ved forbedrede adgangsbegrænsninger.
CVE-2020-9915: Ayoub AIT ELMOKHTAR fra Noon
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2020-9925: en anonym programmør
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2020-9893: 0011, der arbejder sammen med Trend Micros Zero Day Initiative
CVE-2020-9895: Wen Xu fra SSLab, Georgia Tech
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse
Beskrivelse: Flere problemer er løst via forbedret logik.
CVE-2020-9910: Samuel Groß fra Google Project Zero
WebKit Page Loading
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker kan muligvis være i stand til at skjule destinationen af en URL
Beskrivelse: Et problem med Unicode-kodning af URL'er er løst via forbedret statusadministration.
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
WebKit Web Inspector
Fås til: Apple TV 4K og Apple TV HD
Effekt: Kopiering af en URL fra Info om web kan muligvis medføre kommandoindsættelse
Beskrivelse: Der var et problem med kommandoindsættelse i Info om web. Problemet er løst med forbedret undvigelse.
CVE-2020-9862: Ophir Lojkine (@lovasoa)
WebRTC
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker i en privilegeret netværksposition kan muligvis forårsage beskadigelse af heap via et udarbejdet SCTP-stream
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2020-6514: natashenka fra Google Project Zero
Wi-Fi
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2020-9918: Jianjun Dai fra 360 Alpha Lab, der arbejder sammen med 360 BugCloud (bugcloud.360.cn)
Yderligere anerkendelser
CoreFoundation
Vi vil gerne takke Bobby Pelletier for hjælpen.
ImageIO
Vi vil gerne takke Xingwei Lin fra Ant-Financial Light-Year Security Lab for hjælpen.
Kernel
Vi vil gerne takke Brandon Azad fra Google Project Zero for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.