Par tvOS 13.4 drošības saturu
Šajā dokumentā ir ietverts programmatūras tvOS 13.4 drošības satura apraksts.
Par Apple drošības atjauninājumiem
Savu klientu aizsardzības vārdā Apple neizpauž, neapspriež vai neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.
Apple drošības dokumentos ievainojamības ir norādītas ar CVE-ID, ja tas ir iespējams.
Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.
Šajā dokumentā ir ietverts programmatūras tvOS 13.4 drošības satura apraksts.
ActionKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var izmantot privātu struktūru nodrošinātu SSH klientu
Apraksts: problēma tika novērsta ar jaunu pilnvaru.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var izmantot patvaļīgas pilnvaras
Apraksts: problēma tika novērsta, uzlabojot pārbaudes.
CVE-2020-3883: Linus Henze (pinauten.de)
Ikonas
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīga lietotne, iespējams, var noteikt, kādas citas lietotnes ir instalējis lietotājs
Apraksts: problēma tika novērsta, uzlabojot ikonu kešatmiņas apstrādi.
CVE-2020-9773: Chilik Tamir no Zimperium zLabs
Attēlu apstrāde
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām
Apraksts: problēma “lietošana pēc atbrīvošanas” tika novērsta, uzlabojot atmiņas pārvaldību.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas inicializācijas problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3919: anonīms pētnieks
Kernel
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu
Apraksts: atmiņas inicializācijas problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3914: pattern-f (@pattern_F_) no WaCai
Kernel
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: vairāku atmiņas bojājumu problēma tika novērsta, uzlabojot stāvokļa pārvaldību.
CVE-2020-9785: Proteas no Qihoo 360 Nirvan komandas
libxml2
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: vairākas libxml2 problēmas
Apraksts: bufera pārpildes problēma tika novērsta, uzlabojot robežu pārbaudi.
CVE-2020-3909: LGTM.com
CVE-2020-3911: atklāja OSS-Fuzz
libxml2
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: vairākas libxml2 problēmas
Apraksts: bufera pārpildes problēma tika novērsta, uzlabojot izmēru validāciju.
CVE-2020-3910: LGTM.com
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi
Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao, kas strādā ar ADLab no Venustech
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu
Apraksts: sacensību nosacījums tika novērsts ar papildu validāciju.
CVE-2020-3894: Sergei Glazunov no Google Project Zero komandas
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: uzbrucējs no attāluma, iespējams, var izraisīt patvaļīga koda izpildi
Apraksts: atmiņas patēriņa problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3899: atklāja OSS-Fuzz
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt skriptēšanas uzbrukumu vairākās vietnēs
Apraksts: ievades validācijas problēma tika novērsta, uzlabojot ievades validāciju.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi
Apraksts: veidu neskaidrības problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lejupielādes sākumpunkts var būt nepareizi saistīts
Apraksts: loģikas problēma tika novērsta, uzlabojot ierobežojumus.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt koda izpildi
Apraksts: problēma “lietošana pēc atbrīvošanas” tika novērsta, uzlabojot atmiņas pārvaldību.
CVE-2020-9783: Apple
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: uzbrucējs no attāluma, iespējams, var izraisīt patvaļīga koda izpildi
Apraksts: veidu neskaidrības problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3897: Brendan Draper (@6r3nd4n), kas strādā ar Trend Micro Zero Day Initiative
WebKit lapas ielāde
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: faila URL var būt nepareizi apstrādāts
Apraksts: loģikas problēma tika novērsta, uzlabojot ierobežojumus.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Papildu atzinība
FontParser
Vēlamies izteikt atzinību Matthew Denton no Google Chrome par sniegto palīdzību.
Kernel
Vēlamies izteikt atzinību Siguza par sniegto palīdzību.
LinkPresentation
Vēlamies izteikt atzinību Travis par sniegto palīdzību.
WebKit
Vēlamies izteikt atzinību Emilio Cobos Álvarez no Mozilla, Samuel Groß no Google Project Zero komandas par sniegto palīdzību.
Informācija par produktiem, kuru ražotājs nav uzņēmums Apple, vai neatkarīgām tīmekļa vietnēm, kuras uzņēmums Apple nekontrolē un nav testējis, ir sniegta bez ieteikumiem un apstiprinājuma. Apple neuzņemas nekādu atbildību par trešo pušu tīmekļa vietņu vai produktu izvēli, darbību vai izmantošanu. Apple nepauž nekādu viedokli attiecībā uz trešo pušu tīmekļa vietņu precizitāti vai uzticamību. Sazinieties ar nodrošinātāju, lai saņemtu papildinformāciju.