Om sikkerhetsinnholdet i tvOS 14.3

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 14.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

tvOS 14,3

Utgitt 14. desember 2020

Audio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29610: anonym i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 16. mars 2021

CoreAudio

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-27948: JunDong Xie fra Ant Security Light-Year Lab

FontParser

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-29608: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 16. mars 2021

FontParser

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.

CVE-2020-27946: Mateusz Jurczyk fra Google Project Zero

FontParser

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2020-27943: Mateusz Jurczyk fra Google Project Zero

CVE-2020-27944: Mateusz Jurczyk fra Google Project Zero

CVE-2020-29624: Mateusz Jurczyk fra Google Project Zero

Oppføring oppdatert 22. desember 2020

ImageIO

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29615: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 16. mars 2021

ImageIO

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til skade i heapen

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29617: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2020-29619: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring oppdatert 16. mars 2021

ImageIO

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29618: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring oppdatert 16. mars 2021

ImageIO

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-29611: Alexandru-Vlad Niculae i samarbeid med Google Project Zero

Oppføring oppdatert 17. desember 2020

Model I/O

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) fra Topsec Alpha Lab

Oppføring lagt til 16. mars 2021

Model I/O

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2020-9972: Aleksandar Nikolic fra Cisco Talos

Oppføring lagt til 16. mars 2021

WebKit Storage

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En bruker kan kanskje ikke slette nettleserhistorikken fullstendig

Beskrivelse: «Tøm logg og nettstedsdata» tømte ikke loggen. Problemet ble løst gjennom forbedret datasletting.

CVE-2020-29623: Simon Hunt fra OvalTwo LTD

Oppføring lagt til 16. mars 2021

WebRTC

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-15969: en anonym forsker

Wi-Fi

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.

CVE-2021-31077: Lee fra CompSec@SNU

Oppføring lagt til 7. juni 2023

Ytterligere anerkjennelser

CoreAudio

Vi vil gjerne takke JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab for hjelpen.

Oppføring lagt til 16. mars 2021

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: