Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 13.3.1
Utgitt 28. januar 2020
Lyd
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3857: Zhuo Liang fra Qihoo 360 Vulcan Team
ImageIO
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-3826: Samuel Groß fra Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß fra Google Project Zero
Oppføring oppdatert 29. januar 2020
IOAcceleratorFamily
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3837: Brandon Azad fra Google Project Zero
IPSec
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Innlasting av en skadelig racoon-konfigurasjonsfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et «off by one»-problem med behandlingen av racoon-konfigurasjonsfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2020-3840: @littlelailo
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2020-3875: Brandon Azad fra Google Project Zero
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3872: Haakon Garseg Mørk fra Cognite og Cim Stordal fra Cognite
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Et tilgangsproblem ble løst med forbedret minnehåndtering.
CVE-2020-3836: Brandon Azad fra Google Project Zero
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3842: Ned Williamson i samarbeid med Google Project Zero
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2020-3853: Brandon Azad fra Google Project Zero
libxml2
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2020-3846: Ranier Vilela
Oppføring lagt til 29. januar 2020
libxpc
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig streng kan føre til heap-feil
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2020-3856: Ian Beer fra Google Project Zero
libxpc
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-3829: Ian Beer fra Google Project Zero
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3825: Przemysław Sporysz fra Euvic
CVE-2020-3868: Marcin Towalski fra Cisco Talos
Oppføring oppdatert 29. januar 2020
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig nettsted kan være i stand til å forårsake tjenestenekt (DoS)
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret minnehåndtering.
CVE-2020-3862: Srikanth Gatta fra Google Chrome
Oppføring lagt til 29. januar 2020
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-3867: en anonym forsker
Oppføring lagt til 29. januar 2020
Laster inn WebKit-sider
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En DOM-objektkontekst på toppnivå kan uriktig ha blitt vurdert som sikker
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Oppføring lagt til 29. januar 2020 og oppdatert 11. februar 2020
Laster inn WebKit-sider
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En DOM-objektkontekst kan muligens ikke ha hatt et unikt sikkerhetsopphav
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Oppføring lagt til 11. februar 2020
wifivelocityd
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ytterligere anerkjennelse
IOSurface
Vi vil gjerne takke Liang Chen (@chenliang0817) for hjelpen.