Informazioni sui contenuti di sicurezza di tvOS 13.3.1

In questo documento vengono descritti i contenuti di sicurezza di tvOS 13.3.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 13.3.1

Data di rilascio: 28 gennaio 2020

Audio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3857: Zhuo Liang del Vulcan Team di Qihoo 360

files

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Voce aggiunta il 19 gennaio 2022

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3826: Samuel Groß di Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß di Google Project Zero

CVE-2020-3880: Samuel Groß di Google Project Zero

Voce aggiornata il 4 aprile 2020

IOAcceleratorFamily

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3837: Brandon Azad di Google Project Zero

IOUSBDeviceFamily

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8836: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington

Voce aggiunta il 22 giugno 2020

IPSec

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: il caricamento di un file di configurazione racoon dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un off-by-one error nella gestione dei file di configurazione racoon. Il problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2020-3840: @littlelailo

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2020-3875: Brandon Azad di Google Project Zero

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3872: Haakon Garseg Mørk e Cim Stordal di Cognite

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3836: Brandon Azad di Google Project Zero

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3842: Ned Williamson in collaborazione con Google Project Zero

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3853: Brandon Azad di Google Project Zero

libxml2

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2020-3846: Ranier Vilela

Voce aggiunta il 29 gennaio 2020

libxpc

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3856: Ian Beer di Google Project Zero

libxpc

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-3829: Ian Beer di Google Project Zero

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2020-3825: Przemysław Sporysz di Euvic

CVE-2020-3868: Marcin Towalski di Cisco Talos

Voce aggiornata il 29 gennaio 2020

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un sito web dannoso può essere in grado di causare un'interruzione del servizio.

Descrizione: un problema di negazione del servizio è stato risolto con una migliore gestione della memoria.

CVE-2020-3862: Srikanth Gatta di Google Chrome

Voce aggiunta il 29 gennaio 2020

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-3867: un ricercatore anonimo

Voce aggiunta il 29 gennaio 2020

WebKit Page Loading

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un contesto di oggetto DOM di livello superiore può essere stato erroneamente considerato sicuro.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Voce aggiunta il 29 gennaio 2020 e aggiornata l'11 febbraio 2020

WebKit Page Loading

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un contesto di oggetto DOM può non avere avuto un'unica origine di sicurezza.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

Voce aggiunta l'11 febbraio 2020

wifivelocityd

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Altri riconoscimenti

IOSurface

Ringraziamo Liang Chen (@chenliang0817) per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: