Mengenai konten keamanan tvOS 13.4.5

Dokumen ini menjelaskan konten keamanan tvOS 13.4.5.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

tvOS 13.4.5

Dirilis pada 26 Mei 2020

Akun

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9827: Jannik Lorenz dari SEEMOO di TU Darmstadt

AppleMobileFileIntegrity

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi berbahaya dapat berinteraksi dengan proses sistem untuk mengakses informasi pribadi dan melakukan tindakan istimewa

Deskripsi: Masalah penguraian hak telah diatasi dengan penguraian yang ditingkatkan.

CVE-2020-9842: Linus Henze (pinauten.de)

Audio

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9815: Yu Zhou (@yuzhou6666) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Audio

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-9791: Yu Zhou (@yuzhou6666) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

CoreText

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses pesan teks perusak berbahaya dapat mengakibatkan penolakan layanan aplikasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2020-9829: Aaron Perris (@aaronp613), peneliti anonim, peneliti anonim, Carlos S Tech, Sam Menzies dari Sam’s Lounge, Sufiyan Gouri dari Lovely Professional University, India, Suleman Hasan Rathor dari Arabic-Classroom.com

FontParser

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9816:  Peter Nguyen Vu Hoang dari STAR Labs yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2020-3878: Samuel Groß dari Google Project Zero

ImageIO

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9789: Wenchao Li dari VARAS@IIE

CVE-2020-9790: Xingwei Lin dari Ant-financial Light-Year Security Lab

IPSec

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Penyerang jarak jauh dapat membocorkan memori

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9837: Thijs Alkemade dari Computest

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9821: Xinru Chi dan Tielei Wang dari Pangu Lab

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori aplikasi lain

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan menghapus kode yang rentan.

CVE-2020-9797: peneliti anonim

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2020-9852: Tao Huang dan Tielei Wang dari Pangu Lab

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2020-9795: Zhuo Liang dari Qihoo 360 Vulcan Team

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9808: Xinru Chi dan Tielei Wang dari Pangu Lab

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Pengguna lokal dapat membaca memori kernel

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9811: Tielei Wang dari Pangu Lab

CVE-2020-9812: derrek (@derrekr6)

Kerne

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah logika muncul sehingga menyebabkan kerusakan memori. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2020-9813: Xinru Chi dari Pangu Lab

CVE-2020-9814: Xinru Chi dan Tielei Wang dari Pangu Lab

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

libxpc

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi berbahaya dapat menimpa file arbitrer

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2020-9994: Apple

Entri ditambahkan pada 21 September 2020

rsync

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2014-9512: gaojianfeng

Entri ditambahkan pada 28 Juli 2020

Keamanan

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9854: Ilias Morad (A2nkF)

Entri ditambahkan pada 28 Juli 2020

SQLite

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi berbahaya dapat mengakibatkan penolakan layanan atau berpotensi mengungkap konten memori

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9794

Preferensi Sistem

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2020-9839: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan skripting lintas situs universal

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-9805: peneliti anonim

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-9802: Samuel Groß dari Google Project Zero

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-9850: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs

Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2020-9803: Wen Xu dari SSLab di Georgia Tech

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2020-9806: Wen Xu dari SSLab di Georgia Tech

CVE-2020-9807: Wen Xu dari SSLab di Georgia Tech

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9800: Brendan Draper (@6r3nd4n) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebRTC

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah akses telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2019-20503: natashenka dari Google Project Zero

Penghargaan tambahan

CoreText

Kami ingin mengucapkan terima kasih kepada Jiska Classen (@naehrdine) dan Dennis Heinze (@ttdennis) dari Secure Mobile Networking Lab atas bantuannya.

ImageIO

Kami ingin mengucapkan terima kasih kepada Lei Sun atas bantuannya.

IOHIDFamily

Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.

IPSec

Kami ingin mengucapkan terima kasih kepada Thijs Alkemade dari Computest atas bantuannya.

Entri ditambahkan pada 10 Agustus 2020

Kernel

Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero atas bantuannya.

Safari

Kami ingin mengucapkan terima kasih kepada Luke Walker dari Manchester Metropolitan University atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada Aidan Dunlap dari UT Austin atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: