À propos des correctifs de sécurité de tvOS 14.0

Ce document décrit les correctifs de sécurité de tvOS 14.0.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

tvOS 14.0

Publié le 16 septembre 2020

Ressources

Disponible pour : Apple TV 4K et Apple TV HD

Conséquence : un attaquant peut utiliser une relation de confiance de façon inappropriée pour télécharger du contenu malveillant.

Description : un problème de confiance a été résolu en retirant une ancienne API.

CVE-2020-9979 : CodeColorist de l’Ant-Financial LightYear Security Lab

Clavier

Disponible pour : Apple TV 4K et Apple TV HD

Conséquence : une application malveillante peut divulguer des données sensibles.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2020-9976 : Rias A. Sherzad de JAIDE GmbH à Hambourg, Allemagne

Sandbox

Disponible pour : Apple TV 4K et Apple TV HD

Conséquence : une application malveillante peut accéder à des fichiers restreints.

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2020-9968 : Adam Chester (@_xpn_) de TrustedSec

Entrée mise à jour le 17 septembre 2020

WebKit

Disponible pour : Apple TV 4K et Apple TV HD

Conséquence : le traitement d’un contenu Web malveillant peut provoquer une attaque par injection de code indirect (XSS).

Description : un problème de validation des entrées a été résolu grâce à une meilleure validation des entrées.

CVE-2020-9952 : Ryan Pickren (ryanpickren.com)

Remerciements supplémentaires

Bluetooth

Nous tenons à remercier Andy Davis du NCC Group et Dennis Heinze (@ttdennis) de TU Darmstadt, Secure Mobile Networking Lab pour leur aide.

Core Location

Nous tenons à remercier Yiğit Can Yılmaz (@yilmazcanyigit) pour son aide.

iAP

Nous tenons à remercier Andy Davis du NCC Group pour son aide.

Noyau

Nous souhaiterions remercier Brandon Azad de Google Project Zero pour son aide.

Location Framework

Nous tenons à remercier un chercheur anonyme pour son aide.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: