A tvOS 13.4 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 13.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Ez a dokumentum a tvOS 13.4 biztonsági változásjegyzékét ismerteti

Kiadás dátuma: 2020. március 24.

Fiókok

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9772: Allison Husain (UC Berkeley)

Bejegyzés hozzáadva: 2020. május 21.

ActionKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások magánkeretrendszerek által biztosított SSH-klienseket tudtak használni.

Leírás: Egy új jogosultság bevezetésével hárítottuk el a problémát.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások tetszőleges jogosultságokat tudtak használni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-3883: Linus Henze (pinauten.de)

Ikonok

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: Az ikongyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2020-9773: Chilik Tamir (Zimperium zLabs)

Képfeldolgozás

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-3919: Alex Plaskett (F-Secure Consulting)

Bejegyzés frissítve: 2020. május 21.

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-3914: pattern-f (@pattern_F_; WaCai)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2020-9785: Proteas (Qihoo 360 Nirvan Team)

libxml2

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A libxml2-vel kapcsolatos többféle probléma.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-3909: LGTM.com

CVE-2020-3911: megtaláló: OSS-Fuzz

libxml2

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A libxml2-vel kapcsolatos többféle probléma.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-3910: LGTM.com

Sandbox

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2020-3918: Augusto Alvarez (Outcourse Limited)

Bejegyzés hozzáadva: 2020. május 1.

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Egyes webhelyek nem jelentek meg a Safari beállításaiban.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Bejegyzés hozzáadva: 2020. május 1.

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao a Venustech ADLab közreműködőjeként

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2020-3894: Sergei Glazunov (Google Project Zero)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2020-3899: megtaláló: OSS-Fuzz

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor egy programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9783: Apple

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.

CVE-2020-3897: Brendan Draper (@6r3nd4n), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit-oldalbetöltés

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy egy fájl URL-címének feldolgozása helytelenül ment végbe.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

További köszönetnyilvánítás

FontParser

Köszönjük Matthew Denton (Google Chrome) segítségét.

Kernel

Köszönjük Siguza segítségét.

LinkPresentation

Köszönjük Travis segítségét.

WebKit

Köszönjük Emilio Cobos Álvarez (Mozilla) és Samuel Groß (Google Project Zero) segítségét.

Bejegyzés frissítve: 2020. április 4.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: