Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
I dette dokumentet beskrives sikkerhetsinnholdet i tvOS 13.4
Utgitt 24. mars 2020
Kontoer
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-9772: Allison Husain fra UC Berkeley
Oppføring lagt til 21. mai 2020
ActionKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan være i stand til å bruke en SSH-klient forsynt av private rammeverk
Beskrivelse: Dette problemet ble løst med en ny rettighet.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En applikasjon kan være i stand til å bruke vilkårlige rettigheter
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-3883: Linus Henze (pinauten.de)
Bildebehandling
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3919: Alex Plaskett fra F-Secure Consulting
Oppføring oppdatert 21. mai 2020
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3914: pattern-f (@pattern_F_) fra WaCai
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-9785: Proteas fra Qihoo 360 Nirvan Team
libxml2
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Flere problemer i libxml2
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-3909: LGTM.com
CVE-2020-3911: funnet av OSS-Fuzz
libxml2
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Flere problemer i libxml2
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2020-3910: LGTM.com
Sandkasse
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal bruker kan være i stand til å se sensitiv brukerinformasjon
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2020-3918: Augusto Alvarez fra Outcourse Limited
Oppføring lagt til 1. mai 2020
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Noen nettsteder har kanskje ikke dukket opp i Safari-valg
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
Oppføring lagt til 1. mai 2020
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao i samarbeid med ADLab hos Venustech
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan lese begrenset minne
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2020-3894: Sergei Glazunov fra Google Project Zero
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2020-3899: funnet av OSS-Fuzz
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til et angrep med skripting mellom nettsteder
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Opphavet til en nedlasting kan være feilassosiert
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9783: Apple
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2020-3897: Brendan Draper (@6r3nd4n) i samarbeid med Trend Micros Zero Day Initiative
Laster inn WebKit-sider
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: URL-en til en fil kan bli feilbehandlet
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Ytterligere anerkjennelse
FontParser
Vi vil gjerne takke Matthew Denton fra Google Chrome for hjelpen.
Kjerne
Vi vil gjerne takke Siguza for hjelpen.
LinkPresentation
Vi vil gjerne takke Travis for hjelpen.
WebKit
Vi vil gjerne takke Emilio Cobos Álvarez fra Mozilla, Samuel Groß fra Google Project Zero og hearmen for hjelpen.
Oppføring oppdatert 4. april 2020