Par tvOS 13.4 drošības saturu

Savu klientu aizsardzības vārdā Apple neizpauž, neapspriež vai neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.

Apple drošības dokumentos ievainojamības ir norādītas ar CVE-ID, ja tas ir iespējams.

Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.

Izlaista 2020. gada 24. martā

ActionKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izmantot privātu struktūru nodrošinātu SSH klientu

Apraksts: problēma tika novērsta ar jaunu pilnvaru.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izmantot patvaļīgas pilnvaras

Apraksts: problēma tika novērsta, uzlabojot pārbaudes.

CVE-2020-3883: Linus Henze (pinauten.de)

Ikonas

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīga lietotne, iespējams, var noteikt, kādas citas lietotnes ir instalējis lietotājs

Apraksts: problēma tika novērsta, uzlabojot ikonu kešatmiņas apstrādi.

CVE-2020-9773: Chilik Tamir no Zimperium zLabs

Attēlu apstrāde

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: problēma “lietošana pēc atbrīvošanas” tika novērsta, uzlabojot atmiņas pārvaldību.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas inicializācijas problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3919: anonīms pētnieks

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu

Apraksts: atmiņas inicializācijas problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3914: pattern-f (@pattern_F_) no WaCai

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: vairāku atmiņas bojājumu problēma tika novērsta, uzlabojot stāvokļa pārvaldību.

CVE-2020-9785: Proteas no Qihoo 360 Nirvan komandas

libxml2

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: vairākas libxml2 problēmas

Apraksts: bufera pārpildes problēma tika novērsta, uzlabojot robežu pārbaudi.

CVE-2020-3909: LGTM.com

CVE-2020-3911: atklāja OSS-Fuzz

libxml2

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: vairākas libxml2 problēmas

Apraksts: bufera pārpildes problēma tika novērsta, uzlabojot izmēru validāciju.

CVE-2020-3910: LGTM.com

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao, kas strādā ar ADLab no Venustech

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu

Apraksts: sacensību nosacījums tika novērsts ar papildu validāciju.

CVE-2020-3894: Sergei Glazunov no Google Project Zero komandas

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: uzbrucējs no attāluma, iespējams, var izraisīt patvaļīga koda izpildi

Apraksts: atmiņas patēriņa problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3899: atklāja OSS-Fuzz

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt skriptēšanas uzbrukumu vairākās vietnēs

Apraksts: ievades validācijas problēma tika novērsta, uzlabojot ievades validāciju.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi

Apraksts: veidu neskaidrības problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lejupielādes sākumpunkts var būt nepareizi saistīts

Apraksts: loģikas problēma tika novērsta, uzlabojot ierobežojumus.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt koda izpildi

Apraksts: problēma “lietošana pēc atbrīvošanas” tika novērsta, uzlabojot atmiņas pārvaldību.

CVE-2020-9783: Apple

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: uzbrucējs no attāluma, iespējams, var izraisīt patvaļīga koda izpildi

Apraksts: veidu neskaidrības problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3897: Brendan Draper (@6r3nd4n), kas strādā ar Trend Micro Zero Day Initiative

WebKit lapas ielāde

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: faila URL var būt nepareizi apstrādāts

Apraksts: loģikas problēma tika novērsta, uzlabojot ierobežojumus.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

FontParser

Vēlamies izteikt atzinību Matthew Denton no Google Chrome par sniegto palīdzību.

Kernel

Vēlamies izteikt atzinību Siguza par sniegto palīdzību.

LinkPresentation

Vēlamies izteikt atzinību Travis par sniegto palīdzību.

WebKit

Vēlamies izteikt atzinību Emilio Cobos Álvarez no Mozilla, Samuel Groß no Google Project Zero komandas par sniegto palīdzību.

Ieraksts atjaunināts 2020. gada 4. aprīlī