Om sikkerhedsindholdet i tvOS 13.4.5

Dette dokument beskriver sikkerhedsindholdet i tvOS 13.4.5.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 13.4.5

Accounts

Fås til: Apple TV 4K og Apple TV HD

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret inputvalidering.

CVE-2020-9827: Jannik Lorenz fra SEEMOO på TU Darmstadt

AppleMobileFileIntegrity

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan interagere med systemprocesser for at få adgang til private oplysninger og udføre handlinger, der normalt kræver rettigheder

Beskrivelse: Et problem med parsing af rettigheder er løst med forbedret parsing.

CVE-2020-9842: Linus Henze (pinauten.de)

Audio

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9815: Yu Zhou (@yuzhou6666), der arbejder med Trend Micros Zero Day Initiative

Audio

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9791: Yu Zhou (@yuzhou6666), der arbejder med Trend Micros Zero Day Initiative

CoreText

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2020-9829: Aaron Perris (@aaronp613), en anonym programmør, en anonym programmør, Carlos S Tech, Sam Menzies fra Sam's Lounge, Sufiyan Gouri fra Lovely Professional University i Indien og Suleman Hasan Rathor fra Arabic-Classroom.com

FontParser

Fås til: Apple TV 4K og Apple TV HD

Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-9816: Peter Nguyen Vu Hoang fra STAR Labs, der arbejder med Trend Micros Zero Day Initiative

ImageIO

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-3878: Samuel Groß fra Google Project Zero

ImageIO

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-9789: Wenchao Li fra VARAS@IIE

CVE-2020-9790: Xingwei Lin fra Ant-financial Light-Year Security Lab

IPSec

Fås til: Apple TV 4K og Apple TV HD

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9837: Thijs Alkemade fra Computest

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-9821: Xinru Chi og Tielei Wang fra Pangu Lab

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis bestemme et andet programs hukommelseslayout

Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.

CVE-2020-9797: En anonym programmør

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2020-9852: Tao Huang og Tielei Wang fra Pangu Lab

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9795: Zhuo Liang fra Qihoo 360 Vulcan Team

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan medføre pludselig programlukning eller skrivning af kernehukommelse

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-9808: Xinru Chi og Tielei Wang fra Pangu Lab

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: En lokal bruger kan læse kernehukommelsen

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2020-9811: Tielei Wang fra Pangu Lab

CVE-2020-9812: derrek (@derrekr6)

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et logikproblem, som resulterede i beskadiget hukommelse. Det er løst ved hjælp af forbedret statusadministration.

CVE-2020-9813: Xinru Chi fra Pangu Lab

CVE-2020-9814: Xinru Chi og Tielei Wang fra Pangu Lab

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

libxpc

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan overskrive vilkårlige arkiver

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2020-9994: Apple

rsync

Fås til: Apple TV 4K og Apple TV HD

Effekt: En ekstern hacker kan muligvis overskrive eksisterende arkiver

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2014-9512: gaojianfeng

Security

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2020-9854: Ilias Morad (A2nkF)

SQLite

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan forårsage Denial of Service-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9794

System Preferences

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2020-9839: @jinmo123, @setuid0x0_ og @insu_yun_en fra @SSLab_Gatech, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-9805: En anonym programmør

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-9802: Samuel Groß fra Google Project Zero

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-9850: @jinmo123, @setuid0x0_ og @insu_yun_en fra @SSLab_Gatech, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2020-9803: Wen Xu fra SSLab på Georgia Tech

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-9806: Wen Xu fra SSLab på Georgia Tech

CVE-2020-9807: Wen Xu fra SSLab på Georgia Tech

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2020-9800: Brendan Draper (@6r3nd4n), der arbejder med Trend Micros Zero Day Initiative

WebRTC

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Et adgangsproblem er løst gennem forbedret hukommelseshåndtering.

CVE-2019-20503: natashenka fra Google Project Zero

Yderligere anerkendelser

CoreText

Vi vil gerne takke Jiska Classen (@naehrdine) og Dennis Heinze (@ttdennis) fra Secure Mobile Networking Lab for hjælpen.

ImageIO

Vi vil gerne takke Lei Sun for hjælpen.

IOHIDFamily

Vi vil gerne takke Andy Davis fra NCC Group for hjælpen.

IPSec

Vi vil gerne takke Thijs Alkemade fra Computest for hjælpen.

Kernel

Vi vil gerne takke Brandon Azad fra Google Project Zero for hjælpen.

Safari

Vi vil gerne takke Luke Walker fra Manchester Metropolitan University for hjælpen.

WebKit

Vi vil gerne takke Aidan Dunlap fra UT Austin for hjælpen.