Tietoja tvOS 14.3:n turvallisuussisällöstä
Tässä artikkelissa kerrotaan tvOS 14.3:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 14.3
Audio
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa rajatun muistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29610: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
CoreAudio
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-27948: JunDong Xie (Ant Security Light-Year Lab)
FontParser
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2020-29608: Xingwei Lin (Ant Security Light-Year Lab)
FontParser
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2020-27946: Mateusz Jurczyk (Google Project Zero)
FontParser
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2020-27943: Mateusz Jurczyk (Google Project Zero)
CVE-2020-27944: Mateusz Jurczyk (Google Project Zero)
CVE-2020-29624: Mateusz Jurczyk (Google Project Zero)
ImageIO
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29615: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29617: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-29619: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-29618: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-29611: Alexandru-Vlad Niculae yhteistyössä Google Project Zeron kanssa
Model I/O
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010, Topsec Alpha Lab)
Model I/O
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2020-9972: Aleksandar Nikolic (Cisco Talos)
WebKit Storage
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Käyttäjä ei mahdollisesti pystynyt poistamaan selaushistoriaa kokonaan.
Kuvaus: Tyhjennä historia ja poista data -valinta ei tyhjentänyt historiaa. Ongelma on ratkaistu parantamalla tietojen poistamista.
CVE-2020-29623: Simon Hunt (OvalTwo LTD)
WebRTC
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-15969: nimetön tutkija
Wi-Fi
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.
CVE-2021-31077: Lee (CompSec@SNU)
Kiitokset
CoreAudio
Haluamme kiittää JunDong Xieta ja Xingwei Liniä (Ant Security Light-Year Lab) heidän avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.