Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
tvOS 13.4.5
Dirilis pada 26 Mei 2020
Accounts
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9827: Jannik Lorenz dari SEEMOO di TU Darmstadt
AppleMobileFileIntegrity
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya dapat berinteraksi dengan proses sistem untuk mengakses informasi pribadi dan melakukan tindakan istimewa
Deskripsi: Masalah penguraian hak telah diatasi dengan penguraian yang ditingkatkan.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9815: Yu Zhou (@yuzhou6666) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Audio
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9791: Yu Zhou (@yuzhou6666) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
CoreText
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses pesan teks perusak berbahaya dapat mengakibatkan penolakan layanan aplikasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2020-9829: Aaron Perris (@aaronp613), peneliti anonim, peneliti anonim, Carlos S Tech, Sam Menzies dari Sam’s Lounge, Sufiyan Gouri dari Lovely Professional University, India, Suleman Hasan Rathor dari Arabic-Classroom.com
FontParser
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9816: Peter Nguyen Vu Hoang dari STAR Labs yang bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-3878: Samuel Groß dari Google Project Zero
ImageIO
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9789: Wenchao Li dari VARAS@IIE
CVE-2020-9790: Xingwei Lin dari Ant-financial Light-Year Security Lab
IPSec
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang jarak jauh dapat membocorkan memori
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9837: Thijs Alkemade dari Computest
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9821: Xinru Chi dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori aplikasi lain
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan menghapus kode yang rentan.
CVE-2020-9797: peneliti anonim
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2020-9852: Tao Huang dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2020-9795: Zhuo Liang dari Qihoo 360 Vulcan Team
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9808: Xinru Chi dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9811: Tielei Wang dari Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika muncul sehingga menyebabkan kerusakan memori. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2020-9813: Xinru Chi dari Pangu Lab
CVE-2020-9814: Xinru Chi dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2020-9994: Apple
Entri ditambahkan pada 21 September 2020
rsync
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2014-9512: gaojianfeng
Entri ditambahkan pada 28 Juli 2020
Security
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9854: Ilias Morad (A2nkF)
Entri ditambahkan pada 28 Juli 2020
SQLite
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi berbahaya dapat mengakibatkan penolakan layanan atau berpotensi mengungkap konten memori
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9794
System Preferences
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2020-9839: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan skripting lintas situs universal
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9805: peneliti anonim
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9802: Samuel Groß dari Google Project Zero
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9850: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs
Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9803: Wen Xu dari SSLab di Georgia Tech
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9806: Wen Xu dari SSLab di Georgia Tech
CVE-2020-9807: Wen Xu dari SSLab di Georgia Tech
WebKit
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9800: Brendan Draper (@6r3nd4n) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
WebRTC
Tersedia untuk: Apple TV 4K dan Apple TV HD
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah akses telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2019-20503: natashenka dari Google Project Zero
Penghargaan tambahan
CoreText
Kami ingin mengucapkan terima kasih kepada Jiska Classen (@naehrdine) dan Dennis Heinze (@ttdennis) dari Secure Mobile Networking Lab atas bantuannya.
ImageIO
Kami ingin mengucapkan terima kasih kepada Lei Sun atas bantuannya.
IOHIDFamily
Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.
IPSec
Kami ingin mengucapkan terima kasih kepada Thijs Alkemade dari Computest atas bantuannya.
Entri ditambahkan pada 10 Agustus 2020
Kernel
Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero atas bantuannya.
Safari
Kami ingin mengucapkan terima kasih kepada Luke Walker dari Manchester Metropolitan University atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Aidan Dunlap dari UT Austin atas bantuannya.