Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 14.0
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 14.0.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
tvOS 14.0
Assets
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να καταχραστεί μια αξιόπιστη σχέση για τη λήψη κακόβουλου περιεχομένου
Περιγραφή: Ένα πρόβλημα αξιοπιστίας αντιμετωπίστηκε αφαιρώντας ένα API παλαιάς τεχνολογίας.
CVE-2020-9979: CodeColorist του LightYear Security Lab της AntGroup
Audio
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9943: JunDong Xie του Ant Group Light-Year Security Lab
Audio
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9944: JunDong Xie του Ant Group Light-Year Security Lab
CoreAudio
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9960: JunDong Xie και Xingwei Lin του Ant Security Light-Year Lab
CoreAudio
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-9954: Francis σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie του Ant Group Light-Year Security Lab
CoreCapture
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9949: Proteas
CoreText
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-9999: Apple
Disk Images
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
FontParser
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-29629: ανώνυμος ερευνητής
FontParser
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9956: Mickey Jin και Junzhi Lu της ομάδας Trend Micro Mobile Security Research Team σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
FontParser
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στην επεξεργασία αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27931: Apple
FontParser
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-29639: Mickey Jin και Qi Sun της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
HomeKit
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να τροποποιεί μη αναμενόμενα την κατάσταση εφαρμογής
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη μετάδοση ρυθμίσεων.
CVE-2020-9978: Luyi Xing, Dongfang Zhao και Xiaofeng Wang του Indiana University Bloomington, Yan Jia του Xidian University και του University of Chinese Academy of Sciences και Bin Yuan του HuaZhong University of Science and Technology
ImageIO
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου tiff μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-36521: Xingwei Lin του Ant-Financial Light-Year Security Lab
ImageIO
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9961: Xingwei Lin της Ant Security Light-Year Lab
ImageIO
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9955: Mickey Jin της Trend Micro, Xingwei Lin του Ant Security Light-Year Lab
ImageIO
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9876: Mickey Jin της Trend Micro
Kernel
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9975: Tielei Wang του Pangu Lab
Keyboard
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-9976: Rias A. Sherzad της JAIDE GmbH στο Αμβούργο, Γερμανία
libxml2
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9981: εντοπίστηκε από OSS-Fuzz
libxpc
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2020-9971: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab
Sandbox
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.
CVE-2020-9969: Wojciech Reguła του SecuRing (wojciechregula.blog)
Sandbox
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2020-9968: Adam Chester (@_xpn_) της TrustedSec
SQLite
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Πολλά προβλήματα στο SQLite
Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση του SQLite στην έκδοση 3.32.3.
CVE-2020-15358
SQLite
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε αλλοίωση δεδομένων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-13631
SQLite
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2020-9849
SQLite
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-13630
WebKit
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9947: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2020-9950: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2020-9951: Marcin «Icewall» Noga της Cisco Talos
WebKit
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9983: zhunki
WebKit
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9952: Ryan Pickren (ryanpickren.com)
Wi-Fi
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10013: Yu Wang της Didi Research America
Επιπλέον αναγνώριση
802.1X
Θα θέλαμε να ευχαριστήσουμε τους Kenana Dalle του Hamad bin Khalifa University και Ryan Riley του Carnegie Mellon University στο Κατάρ για τη βοήθειά τους.
Audio
Θα θέλαμε να ευχαριστήσουμε τους JunDong Xie και Xingwei Lin του Ant-Financial Light-Year Security Lab για τη βοήθειά τους.
Audio
Θα θέλαμε να ευχαριστήσουμε τους JunDong Xie και XingWei Lin του Ant-Financial Light-Year Security Lab για τη βοήθειά τους.
Bluetooth
Θα θέλαμε να ευχαριστήσουμε τους Andy Davis του NCC Group και Dennis Heinze (@ttdennis) του TU Darmstadt, Secure Mobile Networking Lab για τη βοήθειά τους.
Clang
Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.
Core Location
Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.
Crash Reporter
Θα θέλαμε να ευχαριστήσουμε τον Artur Byszko της AFINE για τη βοήθειά του.
iAP
Θα θέλαμε να ευχαριστήσουμε τον Andy Davis της NCC Group για τη βοήθειά του.
Kernel
Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero και τον Stephen Röttger της Google για τη βοήθειά τους.
libxml2
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
Location Framework
Θα θέλαμε να ευχαριστήσουμε τον Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) για τη βοήθειά του.
Safari
Θα θέλαμε να ευχαριστήσουμε τον Ryan Pickren (ryanpickren.com) για τη βοήθειά του.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους Pawel Wylecial της REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), Zhiyang Zeng(@Wester) του OPPO ZIWU Security Lab και Maximilian Blochberger του Security in Distributed Systems Group του University of Hamburg για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.