Informacije o sigurnosnom sadržaju sustava tvOS 14.0

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 14.0

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 14.0

Objavljeno 16. rujna 2020.

Assets

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: napadač bi mogao zloupotrijebiti pouzdani odnos za preuzimanje zlonamjernog sadržaja

Opis: problem s pouzdanošću riješen je uklanjanjem starog API-ja.

CVE-2020-9979: CodeColorist (LightYear Security Lab of AntGroup)

Unos je ažuriran 12. studenog 2020.

Audio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9943: JunDong Xie (Ant Group Light-Year Security Lab)

Unos je dodan 12. studenog 2020.

Audio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9944: JunDong Xie (Ant Group Light-Year Security Lab)

Unos je dodan 12. studenog 2020.

CoreAudio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9960: JunDong Xie i Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 16. ožujka 2021.

CoreAudio

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9954: Francis u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie (Ant Group Light-Year Security Lab)

Unos je dodan 12. studenog 2020.

CoreCapture

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9949: Proteas

Unos je dodan 12. studenog 2020.

CoreText

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9999: Apple

Unos je dodan 15. prosinca 2020.

Disk Images

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Unos je dodan 12. studenog 2020.

FontParser

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-29629: anonimni istraživač

Unos je dodan 19. siječnja 2022.

FontParser

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9956: Mickey Jin i Junzhi Lu (Istraživački tim za mobilnu sigurnost, Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 16. ožujka 2021.

FontParser

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Unos je dodan 16. ožujka 2021.

FontParser

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: u obradi datoteka s fontovima postojao je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27931: Apple

Unos je dodan 16. ožujka 2021.

FontParser

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja. 

CVE-2020-29639: Mickey Jin i Qi Sun (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 21. srpnja 2021.

HomeKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: napadač s povlaštenim mrežnim ovlastima mogao bi neočekivano promijeniti stanje aplikacije

Opis: problem je riješen poboljšanom propagacijom postavki.

CVE-2020-9978: Luyi Xing, Dongfang Zhao i Xiaofeng Wang (Sveučilište Bloomington, Indiana), Yan Jia (Sveučilište Xidian i Sveučilište kineske akademije znanosti) te Bin Yuan (Sveučilište znanosti i tehnologije HuaZhong)

Unos je dodan 16. ožujka 2021.

ImageIO

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 12. studenog 2020.

ImageIO

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 15. prosinca 2020.

ImageIO

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9876: Mickey Jin (Trend Micro)

Unos je dodan 12. studenog 2020.

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Unos je dodan 16. ožujka 2021.

Kernel

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Unos je dodan 16. ožujka 2021.

Keyboard

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi otkriti povjerljive korisničke podatke

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH, Hamburg, Njemačka)

libxml2

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9981: otkrio OSS-Fuzz

Unos je dodan 12. studenog 2020.

libxpc

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2020-9971: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)

Unos je dodan 15. prosinca 2020.

Sandbox

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni korisnik mogao bi pregledavati osjetljive korisničke informacije

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2020-9969: Wojciech Reguła (SecuRing) (wojciechregula.blog)

Unos je dodan 12. studenog 2020.

Sandbox

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjerna aplikacija mogla bi pristupiti ograničenim datotekama

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2020-9968: Adam Chester (@_xpn_) (TrustedSec)

Unos je ažuriran 17. rujna 2020.

SQLite

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Unos je dodan 12. studenog 2020.

SQLite

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: veći broj problema u bazi podataka SQLite

Opis: veći broj problema riješen je ažuriranjem baze podataka SQLite na verziju 3.32.3.

CVE-2020-15358

Unos je dodan 12. studenog 2020.

SQLite

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: zlonamjeran SQL upit može dovesti do oštećenja podataka

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-13631

Unos je dodan 12. studenog 2020.

SQLite

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač mogao bi otkriti memoriju

Opis: problem s otkrivanjem informacija riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9849

Unos je dodan 12. studenog 2020.

SQLite

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2020-13630

Unos je dodan 12. studenog 2020.

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9947: cc u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2020-9950: cc u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2020-9951: Marcin 'Icewall' Noga (Cisco Talos)

Unos je dodan 12. studenog 2020.

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9983: zhunki

Unos je dodan 12. studenog 2020.

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Wi-Fi

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-10013: Yu Wang (Didi Research America)

Unos je dodan 12. studenog 2020.

Dodatna zahvala

802.1X

Željeli bismo zahvaliti Kenani Dalleu (Sveučilište Hamad bin Khalifa) i Ryanu Rileyju (Sveučilište Carnegie Mellon u Kataru) na pomoći.

Unos je dodan 15. prosinca 2020.

Audio

Željeli bismo zahvaliti JunDongu Xieju i Xingweiju Linu (Ant-Financial Light-Year Security Lab) na pomoći.

Unos je dodan 16. ožujka 2021.

Audio

Željeli bismo zahvaliti JunDongu Xieju i XingWeiju Linu (Ant-Financial Light-Year Security Lab) na pomoći.

Unos je dodan 12. studenog 2020.

Bluetooth

Željeli bismo zahvaliti Andyju Davisu (NCC Group) i Dennisu Heinzeu (@ttdennis) (Laboratorij za sigurne mobilne mreže Tehničkog sveučilišta u Darmstadtu) na pomoći.

Clang

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Unos je dodan 12. studenog 2020.

Core Location

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) na pomoći.

Crash Reporter

Željeli bismo zahvaliti Arturu Byszkou (AFINE) na pomoći.

Unos je dodan 15. prosinca 2020.

iAP

Željeli bismo zahvaliti Andyju Davisu (NCC Group) na pomoći.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i Stephenu Röttgeru (Google) na pomoći.

Unos je ažuriran 12. studenog 2020.

libxml2

Željeli bismo zahvaliti anonimnom istraživaču na pomoći.

Unos je dodan 16. ožujka 2021.

Location Framework

Željeli bismo zahvaliti Nicolasu Brunneru (linkedin.com/in/nicolas-brunner-651bb4128) na pomoći.

Unos je ažuriran 19. listopada 2020.

Safari

Željeli bismo zahvaliti Ryanu Pickrenu (ryanpickren.com) na pomoći.

Unos je dodan 12. studenog 2020.

WebKit

Željeli bismo zahvaliti Pawelu Wylecialu (REDTEAM.PL), Ryanu Pickrenu (ryanpickren.com), Tsubasaiju FUJIIJU (@reinforchu) i Zhiyangu Zengu (@Wester) (OPPO ZIWU Security Lab) na pomoći.

Unos je dodan 12. studenog 2020.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: