Apie „tvOS 13.4“ saugos turinį
Šiame dokumente aprašomas „tvOS 13.4“ saugos turinys.
Apie „Apple“ saugos naujinius
Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikti puslapyje „Apple“ saugos naujiniai.
Kur įmanoma, „Apple“ saugos dokumentuose nurodomas pažeidžiamumo CVE-ID.
Daugiau informacijos apie saugą žr. puslapyje „Apple“ produktų sauga.
Šiame dokumente aprašomas „tvOS 13.4“ saugos turinys
ActionKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: programa gali naudoti privačių sistemų pateiktą SSH kliento programą
Aprašas: ši problema išspręsta nustačius naujas teises.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: programa gali naudoti atsitiktines teises
Aprašas: ši problema išspręsta patobulinus tikrinimo procesus.
CVE-2020-3883: Linus Henze (pinauten.de)
Piktogramos
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: kenkimo programa gali identifikuoti, kokias kitas programas įdiegė naudotojas
Aprašas: problema išspręsta patobulinus piktogramų podėlių apdorojimo procesą.
CVE-2020-9773: Chilik Tamir („Zimperium zLabs“)
Vaizdų apdorojimas
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis
Aprašas: atlaisvintos atminties naudojimo problema išspręsta patobulinus atminties valdymo procesą.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: kenkimo programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: atminties inicijavimo problema išspręsta patobulinus atminties valdymo procesą.
CVE-2020-3919: anoniminis tyrėjas
Branduolys
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: programa gali skaityti ribotąją atmintį
Aprašas: atminties inicijavimo problema išspręsta patobulinus atminties valdymo procesą.
CVE-2020-3914: pattern-f (@pattern_F_) („WaCai“)
Branduolys
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: kenkimo programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: kelios atminties trikties problemos išspręstos patobulinus būsenos valdymo procesą.
CVE-2020-9785: „Proteas“ („Qihoo 360 Nirvan“ komanda)
libxml2
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: kelios su „libxml2“ susijusios problemos
Aprašas: buferio perpildos problema išspręsta patobulinus ribų tikrinimo procesą.
CVE-2020-3909: LGTM.com
CVE-2020-3911: rado OSS-Fuzz
libxml2
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: kelios su „libxml2“ susijusios problemos
Aprašas: buferio perpildos problema išspręsta patobulinus dydžio patikros procesą.
CVE-2020-3910: LGTM.com
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao, dirbantis su „Venustech ADLab“
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: programa gali skaityti ribotąją atmintį
Aprašas: lenktynių aplinkos problema išspręsta nustačius papildomą patikrą.
CVE-2020-3894: Sergei Glazunov („Google Project Zero“)
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: nuotolinis įsilaužėlis gali vykdyti atsitiktinį kodą
Aprašas: atminties naudojimo problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2020-3899: rado OSS-Fuzz
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdoma scenarijų įterpimo svetainėse ataka
Aprašas: įvesties patikros problema išspręsta patobulinus įvesties duomenų patikros procesą.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas
Aprašas: tipo supainiojimo problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: gali būti netinkamai susieta atsisiuntimo pradinė vieta
Aprašas: logikos problema išspręsta patobulinus apribojimus.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas kodas
Aprašas: atlaisvintos atminties naudojimo problema išspręsta patobulinus atminties valdymo procesą.
CVE-2020-9783: „Apple“
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: nuotolinis įsilaužėlis gali vykdyti atsitiktinį kodą
Aprašas: tipo supainiojimo problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2020-3897: Brendan Draper (@6r3nd4n), dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“
„WebKit“ puslapių įkėlimas
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: gali būti netinkamai apdorotas failo URL
Aprašas: logikos problema išspręsta patobulinus apribojimus.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Papildomos padėkos
FontParser
Norime padėkoti Matthew Denton („Google Chrome“) už pagalbą.
Branduolys
Norime padėkoti Siguza už pagalbą.
LinkPresentation
Norime padėkoti Travis už pagalbą.
WebKit
Norime padėkoti Emilio Cobos Álvarez („Mozilla“), Samuel Groß („Google Project Zero“) ir hearmen už pagalbą.
Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. Jei reikia papildomos informacijos, kreipkitės į pardavėją.