Teave tvOS 13.4 turbesisu kohta

Et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded on saadaval. Viimased väljaanded on loetletud lehel Apple’i turbevärskendused.

Apple’i turbedokumentides viidatakse võimalusel CVE-ID kohastele haavatavustele.

Lisateavet turvalisuse kohta leiate lehelt Apple'i toodete turvalisus.

Välja antud 24. märtsil 2020

ActionKit

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et rakendus saab kasutada privaatraamistike pakutavat SSH-klientrakendust

Kirjeldus: probleemi lahenduseks pakuti uut õigust.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et rakendus saab kasutada suvalisi õigusi

Kirjeldus: probleemi lahenduseks pakuti täiustatud kontrolle.

CVE-2020-3883: Linus Henze (pinauten.de)

Ikoonid

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et pahatahtlik rakendus saab tuvastada muid kasutaja installitud rakendusi

Kirjeldus: probleem lahendati ikoonide vahemälu täiustatud käitlemisega.

CVE-2020-9773: Chilik Tamir, Zimperium zLabs

Piltide töötlemine

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et rakendus saab käivitada suvalise koodi süsteemiõigustega

Kirjeldus: probleem mälu kasutamisega pärast selle vabastamist lahendati mälu täiustatud haldusega.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et pahatahtlik rakendus saab käivitada suvalise koodi tuumrežiimi õigustega

Kirjeldus: mälu lähtestamise probleem lahendati mälu parema käitlemisega.

CVE-2020-3919: anonüümne spetsialist

Tuum

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et rakendus saab lugeda piirangutega mälu

Kirjeldus: mälu lähtestamise probleem lahendati mälu parema käitlemisega.

CVE-2020-3914: pattern-f (@pattern_F_), WaCai

Tuum

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et pahatahtlik rakendus saab käivitada suvalise koodi tuumrežiimi õigustega

Kirjeldus: mitmed mälu kahjustumise probleemid lahendati täiustatud olekuhaldusega.

CVE-2020-9785: Proteas, Qihoo 360 Nirvan Team

libxml2

Toode: Apple TV 4K ja Apple TV HD

Toime: mitmed libxml2 probleemid

Kirjeldus: puhvri ületäitumine lahendati piiride tõhusama kontrollimisega.

CVE-2020-3909: LGTM.com

CVE-2020-3911: leidis OSS-Fuzz

libxml2

Toode: Apple TV 4K ja Apple TV HD

Toime: mitmed libxml2 probleemid

Kirjeldus: puhvri ületäitumine lahendati mahu tõhusama valideerimisega.

CVE-2020-3910: LGTM.com

WebKit

Toode: Apple TV 4K ja Apple TV HD

Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada suvalise koodi

Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao, kes töötab laboriga ADLab of Venustech

WebKit

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et rakendus saab lugeda piirangutega mälu

Kirjeldus: ohutekketingimus lahendati täiendava valideerimisega.

CVE-2020-3894: Sergei Glazunov, Google Project Zero

WebKit

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et kaugründaja saab põhjustada suvalise koodi käivitumise

Kirjeldus: mälukasutuse probleem lahendati mälu parema käitlemisega.

CVE-2020-3899: leidis OSS-Fuzz

WebKit

Toode: Apple TV 4K ja Apple TV HD

Toime: pahatahtliku sisuga veebisisu töötlemine võib põhjustada saitidevahelise skriptimise ründe

Kirjeldus: sisestuse valideerimise probleem lahendati sisestuse t’iustatud valideerimisega.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

WebKit

Toode: Apple TV 4K ja Apple TV HD

Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada suvalise koodi

Kirjeldus: tüübi segiajamise probleem lahendati mälu parema käitlemisega.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et allalaadimise päritolu seostatakse valesti

Kirjeldus: loogikaprobleem lahendati tõhusamate piirangutega.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

Toode: Apple TV 4K ja Apple TV HD

Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada koodi

Kirjeldus: probleem mälu kasutamisega pärast selle vabastamist lahendati mälu täiustatud haldusega.

CVE-2020-9783: Apple

WebKit

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et kaugründaja saab põhjustada suvalise koodi käivitumise

Kirjeldus: tüübi segiajamise probleem lahendati mälu parema käitlemisega.

CVE-2020-3897: Brendan Draper (@6r3nd4n), kes töötab koos algatusega Trend Micro’s Zero Day Initiative

WebKiti lehe laadimine

Toode: Apple TV 4K ja Apple TV HD

Toime: võimalik, et faili URL-i töödeldakse valesti

Kirjeldus: loogikaprobleem lahendati tõhusamate piirangutega.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

FontParser

Soovime abi eest tunnustada Matthew Dentonit Google Chrome’ist.

Tuum

Soovime abi eest tunnustada Siguzat.

LinkPresentation

Soovime abi eest tunnustada Travist.

WebKit

Soovime abi eest tunnustada järgmisi isikuid: Emilio Cobos Álvarez, Mozilla, Samuel Groß, Google Project Zero, hearmen.

Kirjet uuendati 4. aprillil 2020