A tvOS 13.4 biztonsági változásjegyzéke
Ez a dokumentum a tvOS 13.4 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Ez a dokumentum a tvOS 13.4 biztonsági változásjegyzékét ismerteti
Fiókok
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-9772: Allison Husain (UC Berkeley)
ActionKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az alkalmazások magánkeretrendszerek által biztosított SSH-klienseket tudtak használni.
Leírás: Egy új jogosultság bevezetésével hárítottuk el a problémát.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az alkalmazások tetszőleges jogosultságokat tudtak használni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2020-3883: Linus Henze (pinauten.de)
Képfeldolgozás
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.
CVE-2020-3919: Alex Plaskett (F-Secure Consulting)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.
CVE-2020-3914: pattern-f (@pattern_F_; WaCai)
Kernel
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2020-9785: Proteas (Qihoo 360 Nirvan Team)
libxml2
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A libxml2-vel kapcsolatos többféle probléma.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2020-3909: LGTM.com
CVE-2020-3911: megtaláló: OSS-Fuzz
libxml2
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A libxml2-vel kapcsolatos többféle probléma.
Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2020-3910: LGTM.com
Sandbox
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2020-3918: Augusto Alvarez (Outcourse Limited)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Egyes webhelyek nem jelentek meg a Safari beállításaiban.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao a Venustech ADLab közreműködőjeként
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2020-3894: Sergei Glazunov (Google Project Zero)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2020-3899: megtaláló: OSS-Fuzz
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor egy programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2020-9783: Apple
WebKit
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.
CVE-2020-3897: Brendan Draper (@6r3nd4n), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit-oldalbetöltés
A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.
Érintett terület: Előfordult, hogy egy fájl URL-címének feldolgozása helytelenül ment végbe.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
További köszönetnyilvánítás
FontParser
Köszönjük Matthew Denton (Google Chrome) segítségét.
Kernel
Köszönjük Siguza segítségét.
LinkPresentation
Köszönjük Travis segítségét.
WebKit
Köszönjük Emilio Cobos Álvarez (Mozilla) és Samuel Groß (Google Project Zero) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.