Par operētājsistēmas tvOS 13.3.1 drošības saturu

Šajā dokumentā ir ietverts programmatūras tvOS 13.3.1 drošības satura apraksts.

Par Apple drošības atjauninājumiem

Savu klientu aizsardzības vārdā Apple neizpauž, neapspriež vai neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir norādīti Apple drošības atjauninājumu lapā.

Ja iespējams, Apple drošības dokumentos kā ievainojamības informācijas avots ir norādīts CVE-ID.

Lai iegūtu papildinformāciju par drošību, skatiet Apple produktu drošības lapu.

tvOS 13.3.1

Audio

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3857: Zhuo Liang no Qihoo 360 Vulcan komandas

ImageIO

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota attēla apstrāde, iespējams, var izraisīt patvaļīga koda izpildi

Apraksts: ārpus robežām esoša satura lasīšanas problēma tika novērsta, uzlabojot ievades validāciju.

CVE-2020-3826: Samuel Groß no Google Project Zero komandas

CVE-2020-3870

CVE-2020-3878: Samuel Groß no Google Project Zero komandas

CVE-2020-3880: Samuel Groß no Google Project Zero komandas

IOAcceleratorFamily

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3837: Brandon Azad no Google Project Zero komandas

IPSec

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota “racoon” konfigurācijas ielāde, iespējams, var izraisīt patvaļīga koda izpildi

Apraksts: “racoon” konfigurācijas failu apstrādē pastāvējusi problēma “nobīde par vienu vienību”. Šī problēma ir novērsta, uzlabojot robežu pārbaudi.

CVE-2020-3840: @littlelailo

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu

Apraksts: validācijas problēma tika novērsta, uzlabojot ievades sanitāriju

CVE-2020-3875: Brandon Azad no Google Project Zero komandas

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu

Apraksts: atmiņas inicializācijas problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3872: Haakon Garseg Mørk no Cognite un Cim Stordal no Cognite

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīga lietotne, iespējams, var noteikt kodola atmiņas izkārtojumu

Apraksts: piekļuves problēma tika novērsta, uzlabojot atmiņas pārvaldību

CVE-2020-3836: Brandon Azad no Google Project Zero komandas

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3842: Ned Williamson, kas strādā ar Google Project Zero komandu

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: veidu neskaidrības problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3853: Brandon Azad no Google Project Zero komandas

libxml2

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota XML apstrāde, iespējams, var izraisīt neparedzētu lietotnes darbības pārtraukšanu vai patvaļīga koda izpildi

Apraksts: bufera pārpildes problēma tika novērsta, uzlabojot izmēru validāciju.

CVE-2020-3846: Ranier Vilela

libxpc

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidotas virknes apstrāde, iespējams, var izraisīt datu kaudzes bojāšanu

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot ievades validāciju

CVE-2020-3856: Ian Beer no Google Project Zero komandas

libxpc

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var iegūt paaugstinātas privilēģijas

Apraksts: ārpus robežām esoša satura lasīšanas problēma tika novērsta, uzlabojot robežu pārbaudi

CVE-2020-3829: Ian Beer no Google Project Zero komandas

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi

Apraksts: vairāku atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3825: Przemysław Sporysz no Euvic

CVE-2020-3868: Marcin Towalski no Cisco Talos

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīga tīmekļa vietne, iespējams, var izraisīt pakalpojuma noraidīšanu

Apraksts: pakalpojumu noraidīšanas problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3862: Srikanth Gatta no Google Chrome

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt universālu skriptēšanas uzbrukumu vairākās vietnēs

Apraksts: loģikas problēma tika novērsta, uzlabojot stāvokļa pārvaldību.

CVE-2020-3867: anonīms pētnieks

WebKit lapas ielāde

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: augšējā līmeņa DOM objekta konteksts, iespējams, ir nepareizi uzskatīts par drošu

Apraksts: loģikas problēma tika novērsta, uzlabojot validāciju.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

WebKit lapas ielāde

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: DOM objektam, iespējams, nav unikālas drošības izcelsmes

Apraksts: loģikas problēma tika novērsta, uzlabojot validāciju.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

wifivelocityd

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: problēma tika novērsta, uzlabojot atļauju loģiku

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Papildu atzinība

IOSurface

Vēlamies izteikt atzinību Liang Chen (@chenliang0817) par sniegto palīdzību.