A tvOS 13.3.1 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 13.3.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 13.3.1

Kiadás dátuma: 2020. január 28.

Audio

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3857: Zhuo Liang (Qihoo 360 Vulcan Team)

files

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások felül tudtak írni tetszőleges fájlokat.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2020-3855: Fitzl Csaba (@theevilbit)

Bejegyzés hozzáadva: 2022. január 19.

ImageIO

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-3826: Samuel Groß (Google Project Zero)

CVE-2020-3870

CVE-2020-3878: Samuel Groß (Google Project Zero)

CVE-2020-3880: Samuel Groß (Google Project Zero)

Bejegyzés frissítve: 2020. április 4.

IOAcceleratorFamily

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3837: Brandon Azad (Google Project Zero)

IOUSBDeviceFamily

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8836: Xiaolong Bai és Min (Spark) Zheng (Alibaba Inc.) és Luyi Xing (Indiana University Bloomington)

Bejegyzés hozzáadva: 2020. június 22.

IPSec

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A racoon ártó szándékkal létrehozott konfigurációs fájljainak betöltésekor tetszőleges kódvégrehajtásra kerülhetett sor.

Leírás: A racoon konfigurációs fájljainak kezelési módjában egy OBOE- (off-by-one) hiba állt fenn. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

CVE-2020-3840: @littlelailo

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2020-3875: Brandon Azad (Google Project Zero)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-3872: Haakon Garseg Mørk (Cognite) és Cim Stordal (Cognite)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy hozzáférési problémát.

CVE-2020-3836: Brandon Azad (Google Project Zero)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3842: Ned Williamson, a Google Project Zero közreműködőjeként

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2020-3853: Brandon Azad (Google Project Zero)

libxml2

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-fájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy tetszőleges programkód végrehajtására nyílt lehetőség.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-3846: Ranier Vilela

Bejegyzés hozzáadva: 2020. január 29.

libxpc

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3856: Ian Beer (Google Project Zero)

libxpc

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-3829: Ian Beer (Google Project Zero)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2020-3825: Przemysław Sporysz (Euvic)

CVE-2020-3868: Marcin Towalski (Cisco Talos)

Bejegyzés frissítve: 2020. január 29.

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webhelyek szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2020-3862: Srikanth Gatta (Google Chrome)

Bejegyzés hozzáadva: 2020. január 29.

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-3867: anonim kutató

Bejegyzés hozzáadva: 2020. január 29.

WebKit Page Loading

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy a rendszer tévesen biztonságosnak ítélt legfelső szintű DOM-objektumkörnyezeteket.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Bejegyzés hozzáadva: 2020. január 29., frissítve: 2020. február 11.

WebKit Page Loading

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy a DOM-objektumkörnyezetek nem rendelkeztek egyedi biztonságos eredettel.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

Bejegyzés hozzáadva: 2020. február 11.

wifivelocityd

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

További köszönetnyilvánítás

IOSurface

Köszönjük Liang Chen (@chenliang0817) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: