Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 13.3.1
Publicat pe 28 ianuarie 2020
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3857: Zhuo Liang de la Qihoo 360 Vulcan Team
files
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Adăugare intrare: 19 ianuarie 2022
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-3826: Samuel Groß de la Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß de la Google Project Zero
CVE-2020-3880: Samuel Groß (Google Project Zero)
Intrare actualizată pe 4 aprilie 2020
IOAcceleratorFamily
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3837: Brandon Azad de la Google Project Zero
IOUSBDeviceFamily
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8836: Xiaolong Bai și Min (Spark) Zheng (Alibaba Inc.) și Luyi Xing (Indiana University Bloomington)
Adăugare intrare: 22 iunie 2020
IPSec
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: încărcarea unui fișier de configurare de tip „racoon” creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a existat o problemă de tipul „off by one” în tratarea fișierelor de configurare de tip „racoon”. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2020-3840: @littlelailo
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2020-3875: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3872: Haakon Garseg Mørk de la Cognite și Cim Stordal de la Cognite
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de acces prin îmbunătățirea gestionării memoriei.
CVE-2020-3836: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3842: Ned Williamson, în colaborare cu Google Project Zero
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2020-3853: Brandon Azad de la Google Project Zero
libxml2
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.
CVE-2020-3846: Ranier Vilela
Adăugare intrare: 29 ianuarie 2020
libxpc
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui șir creat cu rea intenție poate cauza deteriorarea zonei-tampon de structuri de date
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-3856: Ian Beer de la Google Project Zero
libxpc
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-3829: Ian Beer de la Google Project Zero
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3825: Przemysław Sporysz de la Euvic
CVE-2020-3868: Marcin Towalski de la Cisco Talos
Actualizare intrare: 29 ianuarie 2020
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un site web rău intenționat poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării memoriei.
CVE-2020-3862: Srikanth Gatta de la Google Chrome
Adăugare intrare: 29 ianuarie 2020
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-3867: un cercetător anonim
Adăugare intrare: 29 ianuarie 2020
WebKit Page Loading
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un context de obiect DOM de nivel superior poate fi considerat sigur în mod incorect
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Intrare adăugată la 29 ianuarie 2020 și actualizată la 11 februarie 2020
WebKit Page Loading
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un context de obiect DOM poate să nu fi avut o origine de securitate unică
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Intrare adăugată pe 11 februarie 2020
wifivelocityd
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Alte mențiuni
IOSurface
Dorim să îi mulțumim lui Liang Chen (@chenliang0817) pentru asistență.