Informazioni sui contenuti di sicurezza di tvOS 14.0

In questo documento vengono descritti i contenuti di sicurezza di tvOS 14.0.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 14.0

Data di rilascio: 16 settembre 2020

Assets

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato può essere in grado di usare impropriamente una relazione di fiducia per scaricare contenuti dannosi.

Descrizione: un problema di affidabilità è stato risolto rimuovendo un'API legacy.

CVE-2020-9979: CodeColorist di LightYear Security Lab di AntGroup

Voce aggiornata il 12 novembre 2020

Audio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9943: JunDong Xie di Ant Group Light-Year Security Lab

Voce aggiunta il 12 novembre 2020

Audio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9944: JunDong Xie di Ant Group Light-Year Security Lab

Voce aggiunta il 12 novembre 2020

CoreAudio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9960: JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 16 marzo 2021

CoreAudio

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: la riproduzione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9954: Francis in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie di Ant Group Light-Year Security Lab

Voce aggiunta il 12 novembre 2020

CoreCapture

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9949: Proteas

Voce aggiunta il 12 novembre 2020

CoreText

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9999: Apple

Voce aggiunta il 15 dicembre 2020

Disk Images

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Voce aggiunta il 12 novembre 2020

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-29629: un ricercatore anonimo

Voce aggiunta il 19 gennaio 2022

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9956: Mickey Jin e Junzhi Lu di Trend Micro Mobile Security Research Team in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 16 marzo 2021

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Voce aggiunta il 16 marzo 2021

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27931: Apple

Voce aggiunta il 16 marzo 2021

FontParser

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-29639: Mickey Jin e Qi Sun di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 21 luglio 2021

HomeKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe alterare inaspettatamente lo stato dell'applicazione.

Descrizione: questo problema è stato risolto attraverso una migliore propagazione delle impostazioni.

CVE-2020-9978: Luyi Xing, Dongfang Zhao e Xiaofeng Wang dell'Indiana University Bloomington, Yan Jia della Xidian University e della University of Chinese Academy of Sciences e Bin Yuan della HuaZhong University of Science and Technology

Voce aggiunta il 16 marzo 2021

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file tiff dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-36521: Xingwei Lin di Ant-Financial Light-Year Security Lab

Voce aggiunta il 25 maggio 2022

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9961: Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 12 novembre 2020

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9955: Mickey Jin di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 15 dicembre 2020

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9876: Mickey Jin di Trend Micro

Voce aggiunta il 12 novembre 2020

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Voce aggiunta il 16 marzo 2021

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9975: Tielei Wang di Pangu Lab

Voce aggiunta il 16 marzo 2021

Keyboard

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9976: Rias A. Sherzad di JAIDE GmbH ad Amburgo, Germania

libxml2

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9981: rilevato da OSS-Fuzz

Voce aggiunta il 12 novembre 2020

libxpc

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2020-9971: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab

Voce aggiunta il 15 dicembre 2020

Sandbox

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente locale può essere in grado di visualizzare informazioni sensibili degli utenti.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2020-9969: Wojciech Reguła di SecuRing (wojciechregula.blog)

Voce aggiunta il 12 novembre 2020

Sandbox

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può accedere a file con restrizioni.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-9968: Adam Chester (@_xpn_) di TrustedSec

Voce aggiornata il 17 settembre 2020

SQLite

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Voce aggiunta il 12 novembre 2020

SQLite

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: diversi problemi presenti in SQLite.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di SQLite alla versione 3.32.3.

CVE-2020-15358

Voce aggiunta il 12 novembre 2020

SQLite

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: una query SQL dannosa può causare un danneggiamento dei dati.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-13631

Voce aggiunta il 12 novembre 2020

SQLite

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9849

Voce aggiunta il 12 novembre 2020

SQLite

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-13630

Voce aggiunta il 12 novembre 2020

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9947: cc in collaborazione con Zero Day Initiative di Trend Micro

CVE-2020-9950: cc in collaborazione con Zero Day Initiative di Trend Micro

CVE-2020-9951: Marcin “Icewall” Noga di Cisco Talos

Voce aggiunta il 12 novembre 2020

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9983: zhunki

Voce aggiunta il 12 novembre 2020

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Wi-Fi

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10013: Yu Wang di Didi Research America

Voce aggiunta il 12 novembre 2020

Altri riconoscimenti

802.1X

Ringraziamo Kenana Dalle di Hamad bin Khalifa University e Ryan Riley di Carnegie Mellon University in Qatar per l'assistenza.

Voce aggiunta il 15 dicembre 2020

Audio

Ringraziamo JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab per l'assistenza.

Voce aggiunta il 16 marzo 2021

Audio

Ringraziamo JunDong Xie e Xingwei Lin di Ant-Financial Light-Year Security Lab per l'assistenza.

Voce aggiunta il 12 novembre 2020

Bluetooth

Ringraziamo Andy Davis di NCC Group e Dennis Heinze (@ttdennis) di TU Darmstadt, Secure Mobile Networking Lab per l'assistenza.

Clang

Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.

Voce aggiunta il 12 novembre 2020

Core Location

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Crash Reporter

Ringraziamo Artur Byszko di AFINE per l'assistenza.

Voce aggiunta il 15 dicembre 2020

iAP

Ringraziamo Andy Davis di NCC Group per l'assistenza.

Kernel

Ringraziamo Brandon Azad di Google Project Zero e Stephen Röttger di Google per l'assistenza.

Voce aggiornata il 12 novembre 2020

libxml2

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 16 marzo 2021

Location Framework

Ringraziamo Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) per l'assistenza.

Voce aggiornata il 19 ottobre 2020

Safari

Ringraziamo Ryan Pickren (ryanpickren.com) per l'assistenza.

Voce aggiunta il 12 novembre 2020

WebKit

Ringraziamo Pawel Wylecial di REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), Zhiyang Zeng (@Wester) di OPPO ZIWU Security Lab, Maximilian Blochberger del Security in Distributed Systems Group dell'Università di Amburgo per l'assistenza.

Voce aggiunta il 12 novembre 2020, aggiornata il 25 maggio 2022

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: