Informacije o sigurnosnom sadržaju sustava tvOS 13.4.8.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 13.4.8.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 13.4.8

Objavljeno 15. srpnja 2020.

Zvuk

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9884: Yu Zhou (@yuzhou6666) iz 小鸡帮 u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2020-9889: anonimni istraživač u suradnji s projektom Zero Day Initiative (Trend Micro), JunDong Xie i XingWei Lin (Ant-financial Light-Year Security Lab)

Unos ažuriran 10. kolovoza 2020.

Zvuk

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9888: JunDong Xie i XingWei Li (Ant-financial Light-Year Security Lab)

CVE-2020-9890: JunDong Xie i XingWei Li (Ant-financial Light-Year Security Lab)

CVE-2020-9891: JunDong Xie i XingWei Li (Ant-financial Light-Year Security Lab)

Unos ažuriran 10. kolovoza 2020.

AVEVideoEncoder

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2020-9907: 08Tc3wBB

Unos ažuriran 28. srpnja 2020.

Jezgrena grafika

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9883: Mickey Jin (Trend Micro)

Unos dodan 28. srpnja 2020.

Izvješće o padu sustava

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerne aplikacije mogu izaći izvan ograničene memorije

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2020-9865: Zhuo Liang (Qihoo 360 Vulcan Team) u suradnji s 360 BugCloud

Izvješće o padu sustava

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: u logici za provjeru valjanosti puta za simboličke veze otkriven je problem. Taj je problem riješen poboljšanim čišćenjem puta.

CVE-2020-9900: Zhongcheng Li (CK01) (Zero-dayits Team, Legendsec u tvrtki Qi'anxin Group)

Unos dodan 10. kolovoza 2020.

GeoServices

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi čitati osjetljive informacije o lokaciji

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9933: Min (Spark) Zheng i Xiaolong Bai (Alibaba Inc.)

iAP

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: napadač na povlaštenom mrežnom položaju možda će moći izvršiti napad uskraćivanja usluge koristeći neispravne Bluetooth pakete

Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9914: Andy Davis (NCC Group)

Unos ažuriran 28. srpnja 2020.

Ulaz i izlaz slika

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9871: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9872: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9874: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9879: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9936: Mickey Jin (Trend Micro)

CVE-2020-9937: Xingwei Lin (Ant-financial Light-Year Security Lab)

Unos ažuriran 10. kolovoza 2020.

Ulaz i izlaz slika

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9919:  Mickey Jin (Trend Micro)

Unos dodan 28. srpnja 2020.

Ulaz i izlaz slika

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9876: Mickey Jin (Trend Micro)

Unos dodan 28. srpnja 2020.

Ulaz i izlaz slika

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9873: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-financial Light-Year Security Lab)

Unos dodan 28. srpnja 2020.

Ulaz i izlaz slika

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9877: Xingwei Lin (Ant-financial Light-Year Security Lab)

Unos dodan 10. kolovoza 2020.

Ulaz i izlaz slika

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9875: Mickey Jin (Trend Micro)

Unos dodan 10. kolovoza 2020.

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: napadač na privilegiranom položaju u mreži mogao bi se uvući u aktivne veze u VPN tunelu

Opis: problem s usmjeravanjem riješen je poboljšanim ograničenjima.

CVE-2019-14899: William J. Tolley, Beau Kujath i Jedidiah R. Crandall

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9909: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9904: Tielei Wang (Pangu Lab)

Unos dodan 28. srpnja 2020.

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9863: Xinru Chi (Pangu Lab)

Unos ažuriran 10. kolovoza 2020.

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9892: Andy Nguyen (Google)

Unos dodan 10. kolovoza 2020.

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9902: Xinru Chi i Tielei Wang (Pangu Lab)

Unos dodan 10. kolovoza 2020.

Sigurnost

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: napadač je možda mogao oponašati pouzdano web-mjesto korištenjem materijala dijeljenog ključa za certifikat koji je dodao administrator

Opis: postojao je problem s potvrdom valjanosti certifikata prilikom obrade certifikata koje je dodao administrator. Problem je riješen poboljšanjem potvrde valjanosti certifikata.

CVE-2020-9868: Brian Wolff (Asana)

Unos dodan 28. srpnja 2020.

sysdiagnose

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: u logici za provjeru valjanosti puta za simboličke veze otkriven je problem. Taj je problem riješen poboljšanim čišćenjem puta.

CVE-2020-9901: Zhongcheng Li (CK01) (Zero-dayits Team, Legendsec u tvrtki Qi'anxin Group)

Unos dodan 10. kolovoza 2020.

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9894: 0011 u suradnji s inicijativom Zero Day tvrtke Trend Micro

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: u pravilniku o sigurnosti sadržaja otkriven je problem s pristupom.  Problem je riješen poboljšanim ograničenjem pristupa.

CVE-2020-9915: Ayoub AIT ELMOKHTAR (Noon)

Unos ažuriran 28. srpnja 2020.

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9925: anonimni istraživač

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9893: 0011 u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2020-9895: Wen Xu (SSLab, Georgia Tech)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići provjeru identiteta pokazivača

Opis: više problema riješeno je poboljšanom logikom.

CVE-2020-9910: Samuel Groß (Google Project Zero)

Učitavanje stranice WebKita

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerni napadač možda može sakriti odredište URL adrese

Opis: problem kodiranja Unicode znakova u URL adresi riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

Web-inspektor za WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: kopiranje URL adrese s web-inspektora može dovesti do umetanja naredbe

Opis: postojao je problem umetanja naredbe u web-inspektoru. Problem je riješen poboljšanjem dodavanja.

CVE-2020-9862: Ophir Lojkine (@lovasoa)

Wi-Fi

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9918: Jianjun Dai (360 Alpha Lab) u suradnji s 360 BugCloud (bugcloud.360.cn)

Dodatna zahvala

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: