Informacije o sigurnosnom sadržaju sustava tvOS 13.3.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 13.3.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 13.3.1

Objavljeno 28. siječnja 2020.

Audio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3857: Zhuo Liang (tim Vulcan, Qihoo 360)

files

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Stavka dodana 19. siječnja 2022.

ImageIO

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3826: Samuel Groß (Google Project Zero)

CVE-2020-3870

CVE-2020-3878: Samuel Groß (Google Project Zero)

CVE-2020-3880: Samuel Groß (Google Project Zero)

Stavka ažurirana 4. travnja 2020.

IOAcceleratorFamily

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3837: Brandon Azad (Google Project Zero)

IOUSBDeviceFamily

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8836: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)

Stavka dodana 22. lipnja 2020.

IPSec

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: učitavanjem zlonamjerne konfiguracijske Racoon datoteke moglo je doći do pokretanja proizvoljnog koda

Opis: u konfiguracijskim Racoon datotekama otkriven je problem s prekoračenjem međuspremnika za jedan. Problem je riješen poboljšanom provjerom ograničenja.

CVE-2020-3840: @littlelailo

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: aplikacije su mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2020-3875: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: aplikacije su mogle čitati ograničenu memoriju

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3872: Haakon Garseg Mørk (Cognite) i Cim Stordal (Cognite)

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela

Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3836: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3842: Ned Williamson i Google Project Zero

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerne aplikacije mogle su uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3853: Brandon Azad (Google Project Zero)

libxml2

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2020-3846: Ranier Vilela

Stavka dodana 29. siječnja 2020.

libxpc

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog niza moglo je doći do oštećenja skupa memorijskih mjesta

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3856: Ian Beer (Google Project Zero)

libxpc

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-3829: Ian Beer (Google Project Zero)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2020-3825: Przemysław Sporysz (Euvic)

CVE-2020-3868: Marcin Towalski (Cisco Talos)

Stavka ažurirana 29. siječnja 2020.

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna web-mjesta mogla su uzrokovati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3862: Srikanth Gatta (Google Chrome)

Stavka dodana 29. siječnja 2020.

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-3867: anonimni istraživač

Stavka dodana 29. siječnja 2020.

WebKit Page Loading

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: kontekst DOM objekta najviše razine mogao je biti pogrešno smatran sigurnim

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Stavka dodana 29. siječnja 2020., ažurirana 11. veljače 2020.

WebKit Page Loading

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: kontekst DOM objekta možda nije imao jedinstveno sigurnosno podrijetlo

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

Stavka dodana 11. veljače 2020.

wifivelocityd

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanom logikom za dozvole.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Dodatna zahvala

IOSurface

Na pomoći zahvaljujemo Liangu Chenu (@chenliang0817).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 28. siječnja 2022.