Despre conținutul de securitate din tvOS 14.0
Acest document descrie conținutul de securitate din tvOS 14.0.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 14.0
Assets
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator poate reuși să folosească necorespunzător o relație de încredere pentru a descărca un conținut dăunător
Descriere: o problemă de securitate a fost remediată prin eliminarea unui API vechi.
CVE-2020-9979: CodeColorist (LightYear Security Lab) (AntGroup)
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9943: JunDong Xie de la Ant Group Light-Year Security Lab
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9944: JunDong Xie de la Ant Group Light-Year Security Lab
CoreAudio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9960: JunDong Xie și Xingwei Lin (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: redarea unui fișier audio cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2020-9954: Francis în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie (Ant Group Light-Year Security Lab)
CoreCapture
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9949: Proteas
CoreText
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-9999: Apple
Disk Images
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-29629: un cercetător anonim
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9956: Mickey Jin și Junzhi Lu (Trend Micro Mobile Security Research Team), în colaborare cu Zero Day Initiative (Trend Micro)
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-27931: Apple
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-29639: Mickey Jin și Qi Sun (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)
HomeKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator cu poziție privilegiată în rețea poate modifica în mod neașteptat starea aplicației
Descriere: această problemă a fost rezolvată prin îmbunătățirea propagării configurării.
CVE-2020-9978: Luyi Xing, Dongfang Zhao și Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University și University of Chinese Academy of Sciences) și Bin Yuan (HuaZhong University of Science and Technology)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier .tiff creat cu rea intenție ar putea provoca un refuz al serviciului sau ar putea dezvălui conținutul memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-36521: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9876: Mickey Jin (Trend Micro)
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9975: Tielei Wang (Pangu Lab)
Keyboard
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH), Hamburg, Germania
libxml2
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9981: problemă găsită de OSS-Fuzz
libxpc
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2020-9971: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)
Sandbox
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca un utilizator local să vadă informații sensibile despre utilizator
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2020-9969: Wojciech Reguła de la SecuRing (wojciechregula.blog)
Sandbox
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2020-9968: Adam Chester(@_xpn_) (TrustedSec)
SQLite
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: probleme multiple în SQLite
Descriere: au fost rezolvate mai multe probleme prin actualizarea SQLite la versiunea 3.32.3.
CVE-2020-15358
SQLite
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o interogare SQL creată cu rea intenție poate cauza coruperea datelor
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-13631
SQLite
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.
CVE-2020-9849
SQLite
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-13630
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9947: cc în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2020-9950: cc în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2020-9951: Marcin 'Icewall' Noga (Cisco Talos)
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9983: zhunki
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-9952: Ryan Pickren (ryanpickren.com)
Wi-Fi
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-10013: Yu Wang (Didi Research America)
Alte mențiuni
802.1X
Dorim să le mulțumim pentru asistență lui Kenana Dalle de la Hamad bin Khalifa University și lui Ryan Riley de la Carnegie Mellon University din Qatar.
Audio
Dorim să le mulțumim lui JunDong Xie și lui Xingwei Lin (Ant-Financial Light-Year Security Lab) pentru asistența acordată.
Audio
Dorim să le mulțumim lui JunDong Xie și lui XingWei Lin (Ant-Financial Light-Year Security Lab) pentru asistența acordată.
Bluetooth
Dorim să le mulțumim lui Andy Davis (NCC Group) și lui Dennis Heinze (@ttdennis) de la TU Darmstadt, Secure Mobile Networking Lab pentru asistență.
Clang
Dorim să îi mulțumim lui Brandon Azad (Google Project Zero) pentru asistența acordată.
Core Location
Dorim să îi mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.
Crash Reporter
Dorim să îi mulțumim pentru asistență lui Artur Byszko (AFINE).
iAP
Dorim să îi mulțumim lui Andy Davis (NCC Group) pentru asistența acordată.
Kernel
Dorim să îi mulțumim pentru asistență lui Brandon Azad de la Google Project Zero și lui Stephen Röttger de la Google pentru asistență.
libxml2
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Location Framework
Dorim să îi mulțumim lui Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) pentru asistență.
Safari
Dorim să-i mulțumim lui Ryan Pickren (ryanpickren.com) pentru asistență.
WebKit
Dorim să le mulțumim lui Pawel Wylecial de la REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), Zhiyang Zeng (@Wester) de la OPPO ZIWU Security Lab, Maximilian Blochberger de la Security in Distributed Systems Group of University of Hamburg pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.