Apie „tvOS 13.4“ saugos turinį

Šiame dokumente aprašomas „tvOS 13.4“ saugos turinys.

Apie „Apple“ saugos naujinius

Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikti puslapyje „Apple“ saugos naujiniai.

Kur įmanoma, „Apple“ saugos dokumentuose nurodomas pažeidžiamumo CVE-ID.

Daugiau informacijos apie saugą žr. puslapyje „Apple“ produktų sauga.

Šiame dokumente aprašomas „tvOS 13.4“ saugos turinys

Išleista 2020 m. kovo 24 d.

ActionKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali naudoti privačių sistemų pateiktą SSH kliento programą

Aprašas: ši problema išspręsta nustačius naujas teises.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali naudoti atsitiktines teises

Aprašas: ši problema išspręsta patobulinus tikrinimo procesus.

CVE-2020-3883: Linus Henze (pinauten.de)

Piktogramos

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: kenkimo programa gali identifikuoti, kokias kitas programas įdiegė naudotojas

Aprašas: problema išspręsta patobulinus piktogramų podėlių apdorojimo procesą.

CVE-2020-9773: Chilik Tamir („Zimperium zLabs“)

Vaizdų apdorojimas

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis

Aprašas: atlaisvintos atminties naudojimo problema išspręsta patobulinus atminties valdymo procesą.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: kenkimo programa gali vykdyti atsitiktinį kodą su branduolio teisėmis

Aprašas: atminties inicijavimo problema išspręsta patobulinus atminties valdymo procesą.

CVE-2020-3919: anoniminis tyrėjas

Branduolys

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali skaityti ribotąją atmintį

Aprašas: atminties inicijavimo problema išspręsta patobulinus atminties valdymo procesą.

CVE-2020-3914: pattern-f (@pattern_F_) („WaCai“)

Branduolys

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: kenkimo programa gali vykdyti atsitiktinį kodą su branduolio teisėmis

Aprašas: kelios atminties trikties problemos išspręstos patobulinus būsenos valdymo procesą.

CVE-2020-9785: „Proteas“ („Qihoo 360 Nirvan“ komanda)

libxml2

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: kelios su „libxml2“ susijusios problemos

Aprašas: buferio perpildos problema išspręsta patobulinus ribų tikrinimo procesą.

CVE-2020-3909: LGTM.com

CVE-2020-3911: rado OSS-Fuzz

libxml2

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: kelios su „libxml2“ susijusios problemos

Aprašas: buferio perpildos problema išspręsta patobulinus dydžio patikros procesą.

CVE-2020-3910: LGTM.com

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao, dirbantis su „Venustech ADLab“

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali skaityti ribotąją atmintį

Aprašas: lenktynių aplinkos problema išspręsta nustačius papildomą patikrą.

CVE-2020-3894: Sergei Glazunov („Google Project Zero“)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: nuotolinis įsilaužėlis gali vykdyti atsitiktinį kodą

Aprašas: atminties naudojimo problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2020-3899: rado OSS-Fuzz

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdoma scenarijų įterpimo svetainėse ataka

Aprašas: įvesties patikros problema išspręsta patobulinus įvesties duomenų patikros procesą.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas

Aprašas: tipo supainiojimo problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: gali būti netinkamai susieta atsisiuntimo pradinė vieta

Aprašas: logikos problema išspręsta patobulinus apribojimus.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas kodas

Aprašas: atlaisvintos atminties naudojimo problema išspręsta patobulinus atminties valdymo procesą.

CVE-2020-9783: „Apple“

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: nuotolinis įsilaužėlis gali vykdyti atsitiktinį kodą

Aprašas: tipo supainiojimo problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2020-3897: Brendan Draper (@6r3nd4n), dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“

„WebKit“ puslapių įkėlimas

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: gali būti netinkamai apdorotas failo URL

Aprašas: logikos problema išspręsta patobulinus apribojimus.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

Papildomos padėkos

FontParser

Norime padėkoti Matthew Denton („Google Chrome“) už pagalbą.

Branduolys

Norime padėkoti Siguza už pagalbą.

LinkPresentation

Norime padėkoti Travis už pagalbą.

WebKit

Norime padėkoti Emilio Cobos Álvarez („Mozilla“), Samuel Groß („Google Project Zero“) ir hearmen už pagalbą.

Įrašas atnaujintas 2020 m. balandžio 4 d.

Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. Jei reikia papildomos informacijos, kreipkitės į pardavėją.

Publikavimo data: