Teave tvOS 13.4 turbesisu kohta
Selles dokumendis kirjeldatakse operatsioonisüsteemi tvOS 13.4. turbesisu.
Teave Apple'i turbevärskenduste kohta
Et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded on saadaval. Viimased väljaanded on loetletud lehel Apple’i turbevärskendused.
Apple’i turbedokumentides viidatakse võimalusel CVE-ID kohastele haavatavustele.
Lisateavet turvalisuse kohta leiate lehelt Apple'i toodete turvalisus.
Selles dokumendis kirjeldatakse operatsioonisüsteemi tvOS 13.4. turbesisu
ActionKit
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus saab kasutada privaatraamistike pakutavat SSH-klientrakendust
Kirjeldus: probleemi lahenduseks pakuti uut õigust.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus saab kasutada suvalisi õigusi
Kirjeldus: probleemi lahenduseks pakuti täiustatud kontrolle.
CVE-2020-3883: Linus Henze (pinauten.de)
Ikoonid
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et pahatahtlik rakendus saab tuvastada muid kasutaja installitud rakendusi
Kirjeldus: probleem lahendati ikoonide vahemälu täiustatud käitlemisega.
CVE-2020-9773: Chilik Tamir, Zimperium zLabs
Piltide töötlemine
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus saab käivitada suvalise koodi süsteemiõigustega
Kirjeldus: probleem mälu kasutamisega pärast selle vabastamist lahendati mälu täiustatud haldusega.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et pahatahtlik rakendus saab käivitada suvalise koodi tuumrežiimi õigustega
Kirjeldus: mälu lähtestamise probleem lahendati mälu parema käitlemisega.
CVE-2020-3919: anonüümne spetsialist
Tuum
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus saab lugeda piirangutega mälu
Kirjeldus: mälu lähtestamise probleem lahendati mälu parema käitlemisega.
CVE-2020-3914: pattern-f (@pattern_F_), WaCai
Tuum
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et pahatahtlik rakendus saab käivitada suvalise koodi tuumrežiimi õigustega
Kirjeldus: mitmed mälu kahjustumise probleemid lahendati täiustatud olekuhaldusega.
CVE-2020-9785: Proteas, Qihoo 360 Nirvan Team
libxml2
Toode: Apple TV 4K ja Apple TV HD
Toime: mitmed libxml2 probleemid
Kirjeldus: puhvri ületäitumine lahendati piiride tõhusama kontrollimisega.
CVE-2020-3909: LGTM.com
CVE-2020-3911: leidis OSS-Fuzz
libxml2
Toode: Apple TV 4K ja Apple TV HD
Toime: mitmed libxml2 probleemid
Kirjeldus: puhvri ületäitumine lahendati mahu tõhusama valideerimisega.
CVE-2020-3910: LGTM.com
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada suvalise koodi
Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao, kes töötab laboriga ADLab of Venustech
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus saab lugeda piirangutega mälu
Kirjeldus: ohutekketingimus lahendati täiendava valideerimisega.
CVE-2020-3894: Sergei Glazunov, Google Project Zero
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et kaugründaja saab põhjustada suvalise koodi käivitumise
Kirjeldus: mälukasutuse probleem lahendati mälu parema käitlemisega.
CVE-2020-3899: leidis OSS-Fuzz
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga veebisisu töötlemine võib põhjustada saitidevahelise skriptimise ründe
Kirjeldus: sisestuse valideerimise probleem lahendati sisestuse t’iustatud valideerimisega.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada suvalise koodi
Kirjeldus: tüübi segiajamise probleem lahendati mälu parema käitlemisega.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et allalaadimise päritolu seostatakse valesti
Kirjeldus: loogikaprobleem lahendati tõhusamate piirangutega.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada koodi
Kirjeldus: probleem mälu kasutamisega pärast selle vabastamist lahendati mälu täiustatud haldusega.
CVE-2020-9783: Apple
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et kaugründaja saab põhjustada suvalise koodi käivitumise
Kirjeldus: tüübi segiajamise probleem lahendati mälu parema käitlemisega.
CVE-2020-3897: Brendan Draper (@6r3nd4n), kes töötab koos algatusega Trend Micro’s Zero Day Initiative
WebKiti lehe laadimine
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et faili URL-i töödeldakse valesti
Kirjeldus: loogikaprobleem lahendati tõhusamate piirangutega.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Täiendav tunnustamine
FontParser
Soovime abi eest tunnustada Matthew Dentonit Google Chrome’ist.
Tuum
Soovime abi eest tunnustada Siguzat.
LinkPresentation
Soovime abi eest tunnustada Travist.
WebKit
Soovime abi eest tunnustada järgmisi isikuid: Emilio Cobos Álvarez, Mozilla, Samuel Groß, Google Project Zero, hearmen.
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.