A tvOS 13.4.5 biztonsági változásjegyzéke
Ez a dokumentum a tvOS 13.4.5 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
tvOS 13.4.5
Accounts
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2020-9827: Jannik Lorenz (SEEMOO @ TU Darmstadt)
AppleMobileFileIntegrity
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A rosszindulatú alkalmazások műveleteket tudtak végezni a rendszerfolyamatokkal, így személyes információkhoz férhettek hozzá, illetve magas hálózati jogosultsághoz kötött tevékenységeket hajthattak végre.
Leírás: Hatékonyabb elemzéssel elhárítottunk egy jogosultságelemzési hibát.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2020-9815: Yu Zhou (@yuzhou6666), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Audio
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2020-9791: Yu Zhou (@yuzhou6666), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreText
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szöveges üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2020-9829: Aaron Perris (@aaronp613), egy anonim kutató, egy anonim kutató (Carlos S Tech), Sam Menzies (Sam’s Lounge), Sufiyan Gouri (Lovely Professional University, India), Suleman Hasan Rathor (Arabic-Classroom.com)
FontParser
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2020-9816: Peter Nguyen Vu Hoang (STAR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
ImageIO
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2020-3878: Samuel Groß (Google Project Zero)
ImageIO
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2020-9789: Wenchao Li (VARAS@IIE)
CVE-2020-9790: Xingwei Lin (Ant-financial Light-Year Security Lab)
IPSec
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2020-9837: Thijs Alkemade (Computest)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2020-9821: Xinru Chi és Tielei Wang (Pangu Lab)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani egy másik alkalmazás memóriájának felépítését.
Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.
CVE-2020-9797: anonim kutató
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2020-9852: Tao Huang és Tielei Wang (Pangu Lab)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2020-9795: Zhuo Liang (Qihoo 360 Vulcan Team)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2020-9808: Xinru Chi és Tielei Wang (Pangu Lab)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.
CVE-2020-9811: Tielei Wang (Pangu Lab)
CVE-2020-9812: derrek (@derrekr6)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Memóriasérülést kiváltó logikai probléma állt fenn. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2020-9813: Xinru Chi (Pangu Lab)
CVE-2020-9814: Xinru Chi és Tielei Wang (Pangu Lab)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A rosszindulatú alkalmazások felül tudtak írni tetszőleges fájlokat.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2020-9994: Apple
rsync
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A távoli támadók adott esetben felül tudtak írni meglévő fájlokat.
Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2014-9512: gaojianfeng
Security
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2020-9854: Ilias Morad (A2nkF)
SQLite
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást idézhettek elő, illetve esetlegesen felfedhették a memória tartalmát.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2020-9794
System Preferences
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2020-9839: @jinmo123, @setuid0x0_ és @insu_yun_en (@SSLab_Gatech), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-9805: anonim kutató
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-9802: Samuel Groß (Google Project Zero)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-9850: @jinmo123, @setuid0x0_ és @insu_yun_en (@SSLab_Gatech), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2020-9803: Wen Xu (SSLab, Georgia Tech)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2020-9806: Wen Xu (SSLab, Georgia Tech)
CVE-2020-9807: Wen Xu (SSLab, Georgia Tech)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2020-9800: Brendan Draper (@6r3nd4n), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebRTC
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy hozzáférési problémát.
CVE-2019-20503: natashenka (Google Project Zero)
További köszönetnyilvánítás
CoreText
Köszönjük Jiska Classen (@naehrdine) és Dennis Heinze (@ttdennis, Secure Mobile Networking Lab) segítségét.
ImageIO
Köszönjük Lei Sun segítségét.
IOHIDFamily
Köszönjük Andy Davis (NCC Group) segítségét.
IPSec
Köszönjük Thijs Alkemade (Computest) segítségét.
Kernel
Köszönjük Brandon Azad (Google Project Zero) segítségét.
Safari
Köszönjük Luke Walker (Manchester Metropolitan University) segítségét.
WebKit
Köszönjük Aidan Dunlap (UT Austin) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.