Par Apple drošības atjauninājumiem
Savu klientu aizsardzības vārdā Apple neizpauž, neapspriež vai neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir norādīti Apple drošības atjauninājumu lapā.
Ja iespējams, Apple drošības dokumentos kā ievainojamības informācijas avots ir norādīts CVE-ID.
Lai iegūtu papildinformāciju par drošību, skatiet Apple produktu drošības lapu.
tvOS 13.3.1
Izlaišanas datums: 2020. gada 28. janvāris
Audio
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām
Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3857: Zhuo Liang no Qihoo 360 Vulcan komandas
ImageIO
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota attēla apstrāde, iespējams, var izraisīt patvaļīga koda izpildi
Apraksts: ārpus robežām esoša satura lasīšanas problēma tika novērsta, uzlabojot ievades validāciju.
CVE-2020-3826: Samuel Groß no Google Project Zero komandas
CVE-2020-3870
CVE-2020-3878: Samuel Groß no Google Project Zero komandas
CVE-2020-3880: Samuel Groß no Google Project Zero komandas
Ieraksts atjaunināts 2020. gada 4. aprīlī
IOAcceleratorFamily
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3837: Brandon Azad no Google Project Zero komandas
IPSec
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota “racoon” konfigurācijas ielāde, iespējams, var izraisīt patvaļīga koda izpildi
Apraksts: “racoon” konfigurācijas failu apstrādē pastāvējusi problēma “nobīde par vienu vienību”. Šī problēma ir novērsta, uzlabojot robežu pārbaudi.
CVE-2020-3840: @littlelailo
Kernel
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu
Apraksts: validācijas problēma tika novērsta, uzlabojot ievades sanitāriju
CVE-2020-3875: Brandon Azad no Google Project Zero komandas
Kernel
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu
Apraksts: atmiņas inicializācijas problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3872: Haakon Garseg Mørk no Cognite un Cim Stordal no Cognite
Kernel
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīga lietotne, iespējams, var noteikt kodola atmiņas izkārtojumu
Apraksts: piekļuves problēma tika novērsta, uzlabojot atmiņas pārvaldību
CVE-2020-3836: Brandon Azad no Google Project Zero komandas
Kernel
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3842: Ned Williamson, kas strādā ar Google Project Zero komandu
Kernel
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām
Apraksts: veidu neskaidrības problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3853: Brandon Azad no Google Project Zero komandas
libxml2
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota XML apstrāde, iespējams, var izraisīt neparedzētu lietotnes darbības pārtraukšanu vai patvaļīga koda izpildi
Apraksts: bufera pārpildes problēma tika novērsta, uzlabojot izmēru validāciju.
CVE-2020-3846: Ranier Vilela
Ieraksts pievienots 2020. gada 29. janvārī
libxpc
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidotas virknes apstrāde, iespējams, var izraisīt datu kaudzes bojāšanu
Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot ievades validāciju
CVE-2020-3856: Ian Beer no Google Project Zero komandas
libxpc
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var iegūt paaugstinātas privilēģijas
Apraksts: ārpus robežām esoša satura lasīšanas problēma tika novērsta, uzlabojot robežu pārbaudi
CVE-2020-3829: Ian Beer no Google Project Zero komandas
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi
Apraksts: vairāku atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3825: Przemysław Sporysz no Euvic
CVE-2020-3868: Marcin Towalski no Cisco Talos
Ieraksts atjaunināts 2020. gada 29. janvārī
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīga tīmekļa vietne, iespējams, var izraisīt pakalpojuma noraidīšanu
Apraksts: pakalpojumu noraidīšanas problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3862: Srikanth Gatta no Google Chrome
Ieraksts pievienots 2020. gada 29. janvārī
WebKit
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt universālu skriptēšanas uzbrukumu vairākās vietnēs
Apraksts: loģikas problēma tika novērsta, uzlabojot stāvokļa pārvaldību.
CVE-2020-3867: anonīms pētnieks
Ieraksts pievienots 2020. gada 29. janvārī
WebKit lapas ielāde
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: augšējā līmeņa DOM objekta konteksts, iespējams, ir nepareizi uzskatīts par drošu
Apraksts: loģikas problēma tika novērsta, uzlabojot validāciju.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Ieraksts pievienots 2020. gada 29. janvārī un atjaunināts 2020. gada 11. februārī
WebKit lapas ielāde
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: DOM objektam, iespējams, nav unikālas drošības izcelsmes
Apraksts: loģikas problēma tika novērsta, uzlabojot validāciju.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Ieraksts pievienots 2020. gada 11. februārī
wifivelocityd
Pieejamība: Apple TV 4K un Apple TV HD
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām
Apraksts: problēma tika novērsta, uzlabojot atļauju loģiku
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Papildu atzinība
IOSurface
Vēlamies izteikt atzinību Liang Chen (@chenliang0817) par sniegto palīdzību.