Tietoja tvOS 13.4.5:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 13.4.5:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 13.4.5
Accounts
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tietojen vahvistamista.
CVE-2020-9827: Jannik Lorenz (SEEMOO, TU Darmstadt)
AppleMobileFileIntegrity
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma pystyi vaikuttamaan järjestelmäprosesseihin ja siten käyttämään yksityisiä tietoja ja suorittamaan etuoikeutettuja toimia.
Kuvaus: Oikeuksien jäsentämiseen liittyvä ongelma ratkaistiin parantamalla jäsentämistä.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9815: Trend Micron Zero Day Initiativen parissa työskentelevä Yu Zhou (@yuzhou6666)
Audio
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9791: Trend Micron Zero Day Initiativen parissa työskentelevä Yu Zhou (@yuzhou6666)
CoreText
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen tekstiviestin käsittely saattoi johtaa ohjelman palvelunestoon.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2020-9829: Aaron Perris (@aaronp613), nimetön tutkija, nimetön tutkija, Carlos S Tech, Sam Menzies (Sam’s Lounge), Sufiyan Gouri (Lovely Professional University, Intia), Suleman Hasan Rathor (Arabic-Classroom.com)
FontParser
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9816: Trend Micro Zero Day Initiativen parissa työskentelevä Peter Nguyen Vu Hoang (STAR Labs)
ImageIO
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-3878: Samuel Groß (Google Project Zero)
ImageIO
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-9789: Wenchao Li (VARAS@IIE)
CVE-2020-9790: Xingwei Lin (Ant-financial Light-Year Security Lab)
IPSec
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-9837: Thijs Alkemade (Computest)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-9821: Xinru Chi ja Tielei Wang (Pangu Lab)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä päättelemään toisen apin muistin asettelun.
Kuvaus: Tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2020-9797: nimetön tutkija
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9852: Tao Huang ja Tielei Wang (Pangu Lab)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-9795: Zhuo Liang (Qihoo 360 Vulcan Team)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-9808: Xinru Chi ja Tielei Wang (Pangu Lab)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2020-9811: Tielei Wang (Pangu Lab)
CVE-2020-9812: derrek (@derrekr6)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Logiikkaongelma aiheutti muistin vioittumisen. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-9813: Xinru Chi (Pangu Lab)
CVE-2020-9814: Xinru Chi ja Tielei Wang (Pangu Lab)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2020-9994: Apple
rsync
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Etähyökkääjä saattoi pystyä korvaamaan olemassa olevia tiedostoja.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2014-9512: gaojianfeng
Security
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2020-9854: Ilias Morad (A2nkF)
SQLite
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-9794
System Preferences
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2020-9839: Trend Micron Zero Day Initiativen parissa työskentelevät @jinmo123, @setuid0x0_ ja @insu_yun_en (@SSLab_Gatech)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2020-9805: nimetön tutkija
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2020-9802: Samuel Groß (Google Project Zero)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2020-9850: Trend Micron Zero Day Initiativen parissa työskentelevät @jinmo123, @setuid0x0_ ja @insu_yun_en (@SSLab_Gatech)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2020-9803: Wen Xu (Georgia Techin SSLab)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-9806: Wen Xu (Georgia Techin SSLab)
CVE-2020-9807: Wen Xu (Georgia Techin SSLab)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9800: Trend Micron Zero Day Initiativen parissa työskentelevä Brendan Draper (@6r3nd4n)
WebRTC
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: Käyttöoikeusongelma on korjattu parantamalla muistin hallintaa.
CVE-2019-20503: natashenka (Google Project Zero)
Kiitokset
CoreText
Haluamme kiittää Jiska Classenia (@naehrdine) ja Dennis Heinzeä (@ttdennis) (Secure Mobile Networking Lab) heidän avustaan.
ImageIO
Haluamme kiittää Lei Sunia hänen avustaan.
IOHIDFamily
Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.
IPSec
Haluamme kiittää Thijs Alkemadea (Computest) hänen avustaan.
Kernel
Haluamme kiittää Brandon Azadia (Google Project Zero) hänen avustaan.
Safari
Haluamme kiittää Luke Walkeria (Manchester Metropolitan University) hänen avustaan.
WebKit
Haluamme kiittää Aidan Dunlapia (UT Austin) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.