Zawartość związana z zabezpieczeniami w systemie tvOS 13.4.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 13.4.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

tvOS 13.4.5

Wydano 26 maja 2020 r.

Accounts

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9827: Jannik Lorenz z SEEMOO w TU Darmstadt

AppleMobileFileIntegrity

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwa aplikacja może wchodzić w interakcję z procesami systemowymi w celu uzyskania dostępu do prywatnych informacji i wykonywania czynności wymagających specjalnych uprawnień.

Opis: rozwiązano problem dotyczący analizowania uprawnień przez ulepszenie procesu analizowania.

CVE-2020-9842: Linus Henze (pinauten.de)

Audio

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9815: Yu Zhou (@yuzhou6666) w ramach programu Zero Day Initiative firmy Trend Micro

Audio

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9791: Yu Zhou (@yuzhou6666) w ramach programu Zero Day Initiative firmy Trend Micro

CoreText

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanego tekstu może doprowadzić do ataku typu „odmowa usługi” ze strony aplikacji.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2020-9829: Aaron Perris (@aaronp613), anonimowy badacz, anonimowy badacz, Carlos S Tech, Sam Menzies (Sam’s Lounge), Sufiyan Gouri (Lovely Professional University), India, Suleman Hasan Rathor (Arabic-Classroom.com)

FontParser

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9816: Peter Nguyen Vu Hoang (STAR Labs) w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-3878: Samuel Groß z Google Project Zero

ImageIO

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9789: Wenchao Li (VARAS@IIE)

CVE-2020-9790: Xingwei Lin (Ant-financial Light-Year Security Lab)

IPSec

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9837: Thijs Alkemade z Computest

Kernel

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9821: Xinru Chi i Tielei Wang (Pangu Lab)

Kernel

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci innej aplikacji.

Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2020-9797: anonimowy badacz

Kernel

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9852: Tao Huang i Tielei Wang (Pangu Lab)

Kernel

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9795: Zhuo Liang (Qihoo 360 Vulcan Team)

Kernel

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9808: Xinru Chi i Tielei Wang (Pangu Lab)

Kernel

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2020-9811: Tielei Wang (Pangu Lab)

CVE-2020-9812: derrek (@derrekr6)

Kernel

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2020-9813: Xinru Chi (Pangu Lab)

CVE-2020-9814: Xinru Chi i Tielei Wang (Pangu Lab)

Kernel

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

libxpc

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2020-9994: Apple

Wpis dodano 21 września 2020 r.

rsync

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: osoba atakująca zdalnie może nadpisać istniejące pliki.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2014-9512: gaojianfeng

Wpis dodano 28 lipca 2020 r.

Security

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2020-9854: Ilias Morad (A2nkF)

Wpis dodano 28 lipca 2020 r.

SQLite

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwa aplikacja może przeprowadzić atak typu „odmowa usługi” (DoS) lub ujawnić zawartość pamięci

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9794

System Preferences

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.

CVE-2020-9839: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2020-9805: anonimowy badacz

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2020-9802: Samuel Groß (Google Project Zero)

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2020-9850: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2020-9803: Wen Xu z grupy SSLab uczelni Georgia Tech

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9806: Wen Xu z grupy SSLab uczelni Georgia Tech

CVE-2020-9807: Wen Xu z grupy SSLab uczelni Georgia Tech

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2020-9800: Brendan Draper (@6r3nd4n) w ramach programu Zero Day Initiative firmy Trend Micro

WebRTC

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: problem z dostępem rozwiązano przez poprawienie procedur zarządzania pamięcią.

CVE-2019-20503: natashenka z Google Project Zero

Dodatkowe podziękowania

CoreText

Dziękujemy za udzieloną pomoc: Jiska Classen (@naehrdine) i Dennis Heinze (@ttdennis) z Secure Mobile Networking Lab.

ImageIO

Dziękujemy za udzieloną pomoc: Lei Sun.

IOHIDFamily

Dziękujemy za udzieloną pomoc: Andy Davis z NCC Group.

IPSec

Dziękujemy za udzieloną pomoc Thijs Alkemade z Computest.

Wpis dodano 10 sierpnia 2020 r.

Kernel

Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero.

Safari

Dziękujemy za udzieloną pomoc: Luke Walker (Manchester Metropolitan University).

WebKit

Dziękujemy za udzieloną pomoc: Aidan Dunlap (UT Austin).

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: