Teave versiooni tvOS 13.3.1 turbesisu kohta
Selles dokumendis kirjeldatakse operatsioonisüsteemi tvOS 13.3.1 turbesisu.
Teave Apple'i turbevärskenduste kohta
Et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded on saadaval. Uusimad väljaanded on loetletud lehel Apple’i turbevärskendused.
Apple’i turbedokumentides viidatakse võimalusel CVE-ID kohasetele haavatavustele.
Lisateavet turvalisuse kohta leiate lehelt Apple'i toodete turvalisus.
tvOS 13.3.1
Heli
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et pahatahtlik rakendus suudab käivitada suvalise koodi süsteemiõigustega
Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.
CVE-2020-3857: Zhuo Liang, Qihoo 360 Vulcan Team
ImageIO
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga pildi töötlemine võib käivitada suvalise koodi
Kirjeldus: lugemine väljaspool puhvrit lahendati sisestuse tõhusama valideerimisega.
CVE-2020-3826: Samuel Groß, Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß, Google Project Zero
CVE-2020-3880: Samuel Groß, Google Project Zero
IOAcceleratorFamily
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus suudab käivitada suvalise koodi tuumrežiimi õigustega
Kirjeldus: mälu kahjustumise probleemile pakuti lahendus mälu parema käsitlemisega.
CVE-2020-3837: Brandon Azad,Google Project Zero
IPSec
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga racoon-konfiguratsioonifaili laadimine võib käivitada suvalise koodi
Kirjeldus: racoon-konfiguratsioonifailide töötlemisel ilmnes ainult üks probleem. Probleem lahendati põhjalikuma piiride kontrolliga.
CVE-2020-3840: @littlelailo
Tuum
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus suudab lugeda piirangutega mälu
Kirjeldus: valideerimisprobleem lahendati sisendi täiustatud puhastamisega.
CVE-2020-3875: Brandon Azad,Google Project Zero
Tuum
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus suudab lugeda piirangutega mälu
Kirjeldus: mälu lähtestamise probleem lahendati mälu parema käitlemisega.
CVE-2020-3872: Haakon Garseg Mørk, Cognite ja Cim Stordal, Cognite
Tuum
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et pahatahtlik rakendus suudab määrata tuuma mälu paigutuse
Kirjeldus: juurdepääsuprobleem lahendati mälu parema haldusega.
CVE-2020-3836: Brandon Azad,Google Project Zero
Tuum
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus suudab käivitada suvalise koodi tuumrežiimi õigustega
Kirjeldus: mälu kahjustumise probleemile pakuti lahendus mälu parema käitlemisega.
CVE-2020-3842: Ned Williamson, töötab projektiga Google Project Zero
Tuum
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et pahatahtlik rakendus suudab käivitada suvalise koodi süsteemiõigustega
Kirjeldus: tüübi segiajamise probleem lahendati mälu parema käitlemisega.
CVE-2020-3853: Brandon Azad, Google Project Zero
libxml2
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga XML-i töötlemine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni
Kirjeldus: puhvri ületäitumise probleem lahendati mahu parema valideerimisega.
CVE-2020-3846: Ranier Vilela
libxpc
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga stringi töötlemine võib viia kuhja rikkeni
Kirjeldus: mälu kahjustumise probleem lahendati sisestuse tõhusama valideerimisega.
CVE-2020-3856: Ian Beer,Google Project Zero
libxpc
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus suudab hankida administraatoriõigused
Kirjeldus: lugemine väljaspool puhvrit lahendati piiride tõhusama kontrollimisega.
CVE-2020-3829: Ian Beer, Google Project Zero
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga pildi töötlemine võib käivitada suvalise koodi
Kirjeldus: mitmed mälu kahjustumise probleemid lahendati mälu parema käitlemisega.
CVE-2020-3825: Przemysław Sporysz, Euvic
CVE-2020-3868: Marcin Towalski, Cisco Talos
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et pahatahtlik veebisait põhjustab teenusetõkke
Kirjeldus: teenusetõkke probleem lahendati mälu parema käitlemisega.
CVE-2020-3862: Srikanth Gatta, Google Chrome
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga veebisisu töötlemine võib põhjustada universaalse saitidevahelise skriptimise
Kirjeldus: loogikaprobleem lahendati täiustatud olekuhaldusega.
CVE-2020-3867: anonüümne spetsialist
WebKiti lehe laadimine
Toode: Apple TV 4K ja Apple TV HD
Toime: ülataseme DOM-objekti konteksti võidi ekslikult pidada turvaliseks
Kirjeldus: loogikaprobleem lahendati täiustatud valideerimisega.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
WebKiti lehe laadimine
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Toime: DOM-objekti kontekstil ei pruugi olla kordumatut turbepäritolu
Kirjeldus: loogikaprobleem lahendati täiustatud valideerimisega.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
wifivelocityd
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Toime: rakendus võib suuta käivitada suvalise koodi süsteemiõigustega
Kirjeldus: probleem lahendati õiguste täiustatud loogikaga.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Täiendav tunnustamine
IOSurface
Soovime tunnustada Liang Cheni (@chenliang0817) tema abi eest.
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.