Sobre o conteúdo de segurança do tvOS 13.4.5

Este documento descreve o conteúdo de segurança do tvOS 13.4.5.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

tvOS 13.4.5

Lançado em 26 de maio de 2020

Contas

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um invasor remoto pode causar uma negação de serviço

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação de entradas.

CVE-2020-9827: Jannik Lorenz do SEEMOO na TU Darmstadt

AppleMobileFileIntegrity

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo malicioso poderia interagir com processos do sistema para acessar informações privadas e realizar ações com privilégios

Descrição: um problema de análise de direitos foi resolvido por meio de melhorias na análise.

CVE-2020-9842: Linus Henze (pinauten.de)

Áudio

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2020-9815: Yu Zhou (@yuzhou6666) em parceria com a Zero Day Initiative da Trend Micro

Áudio

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2020-9791: Yu Zhou (@yuzhou6666) em parceria com a Zero Day Initiative da Trend Micro

CoreText

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar uma mensagem de texto criada com códigos maliciosos pode ocasionar uma negação de serviço no aplicativo

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2020-9829: Aaron Perris (@aaronp613), pesquisadores anônimos, Carlos S Tech, Sam Menzies da Sam’s Lounge, Sufiyan Gouri da Lovely Professional University, Índia, Suleman Hasan Rathor da Arabic-Classroom.com

FontParser

Disponível para: Apple TV 4K e Apple TV HD

Impacto: abrir um arquivo PDF criado com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2020-9816: Peter Nguyen Vu Hoang do STAR Labs em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2020-3878: Samuel Groß do Google Project Zero

ImageIO

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2020-9789: Wenchao Li da VARAS@IIE

CVE-2020-9790: Xingwei Lin da Ant-financial Light-Year Security Lab

IPSec

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um invasor remoto pode causar o vazamento de memória

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2020-9837: Thijs Alkemade da Computest

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2020-9821: Xinru Chi e Tielei Wang do Pangu Lab

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo malicioso poderia determinar o layout de memória de outro aplicativo

Descrição: um problema de divulgação de informações foi resolvido por meio da remoção do código vulnerável.

CVE-2020-9797: pesquisador anônimo

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.

CVE-2020-9852: Tao Huang e Tielei Wang do Pangu Lab

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2020-9795: Zhuo Liang da Qihoo 360 Vulcan Team

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo pode causar o encerramento inesperado do sistema ou escrever na memória do kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2020-9808: Xinru Chi e Tielei Wang do Pangu Lab

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um usuário local pode ler a memória do kernel

Descrição: um problema de exposição de informações foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2020-9811: Tielei Wang do Pangu Lab

CVE-2020-9812: derrek (@derrekr6)

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: havia um problema de lógica que corrompia a memória. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2020-9813: Xinru Chi do Pangu Lab

CVE-2020-9814: Xinru Chi e Tielei Wang do Pangu Lab

Kernel

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel

Descrição: um problema de exposição de informações foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

libxpc

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo malicioso pode sobrescrever arquivos arbitrariamente

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2020-9994: Apple

Entrada adicionada em 21 de setembro de 2020

rsync

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um invasor remoto pode conseguir gravar por cima de arquivos existentes

Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2014-9512: gaojianfeng

Entrada adicionada em 28 de julho de 2020

Segurança

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo pode obter privilégios elevados

Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.

CVE-2020-9854: Ilias Morad (A2nkF)

Entrada adicionada em 28 de julho de 2020

SQLite

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo malicioso poderia causar uma negação de serviço ou divulgar o conteúdo da memória

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2020-9794

Preferências do Sistema

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um aplicativo pode obter privilégios elevados

Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.

CVE-2020-9839: @jinmo123, @setuid0x0_ e @insu_yun_en do @SSLab_Gatech em parceria com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2020-9805: pesquisador anônimo

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2020-9802: Samuel Groß do Google Project Zero

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: um invasor externo pode causar a execução arbitrária de códigos

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2020-9850: @jinmo123, @setuid0x0_ e @insu_yun_en do @SSLab_Gatech em parceria com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar conteúdo da web criado com códigos maliciosos podia resultar em um ataque de transmissão de script entre sites

Descrição: um problema de validação de entrada foi resolvido por meio de melhorias na validação de entradas.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2020-9803: Wen Xu do SSLab na Georgia Tech

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2020-9806: Wen Xu do SSLab na Georgia Tech

CVE-2020-9807: Wen Xu do SSLab na Georgia Tech

WebKit

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2020-9800: Brendan Draper (@6r3nd4n) em parceria com a Zero Day Initiative da Trend Micro

WebRTC

Disponível para: Apple TV 4K e Apple TV HD

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de acesso foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2019-20503: natashenka do Google Project Zero

Outros reconhecimentos

CoreText

Gostaríamos de agradecer a Jiska Classen (@naehrdine) e Dennis Heinze (@ttdennis) do Secure Mobile Networking Lab pela ajuda.

ImageIO

Gostaríamos de agradecer a Lei Sun pela ajuda.

IOHIDFamily

Gostaríamos de agradecer a Andy Davis do NCC Group pela ajuda.

IPSec

Gostaríamos de agradecer a Thijs Alkemade da Computest pela ajuda.

Entrada adicionada em 10 de agosto de 2020

Kernel

Gostaríamos de agradecer a Brandon Azad do Google Project Zero pela ajuda.

Safari

Gostaríamos de agradecer a Luke Walker da Manchester Metropolitan University pela ajuda.

WebKit

Gostaríamos de agradecer a Aidan Dunlap da UT Austin pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: