Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 13.4.8
Publicat pe 15 iulie 2020
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9884: Yu Zhou(@yuzhou6666) de la 小鸡帮 lucrând cu Trend Micro Zero Day Initiative
CVE-2020-9889: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie și XingWei Lin (Ant-financial Light-Year Security Lab)
Actualizare intrare: 10 august 2020
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9888: JunDong Xie și XingWei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9890: JunDong Xie și XingWei Lin (Ant-financial Light-Year Security Lab)
CVE-2020-9891: JunDong Xie și XingWei Lin (Ant-financial Light-Year Security Lab)
Actualizare intrare: 10 august 2020
AVEVideoEncoder
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin eliminarea codului vulnerabil.
CVE-2020-9907: 08Tc3wBB în colaborare cu ZecOps
Adăugare intrare: 28 iulie 2020; actualizare intrare: 31 august 2020
CoreGraphics
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2020-9883: un cercetător anonim, Mickey Jin (Trend Micro)
Intrare adăugată pe 28 iulie 2020, actualizată pe 15 decembrie 2020
Crash Reporter
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin eliminarea codului vulnerabil.
CVE-2020-9865: Zhuo Liang (Qihoo 360 Vulcan Team lucrând cu 360 BugCloud)
Crash Reporter
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: a existat o problemă în logica de validare a căilor pentru linkuri simbolice. Această problemă a fost rezolvată printr-o îmbunătățire a corectării căilor.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) (Zero-dayits Team of Legendsec at Qi'anxin Group)
Adăugare intrare: 10 august 2020; actualizare intrare: 17 decembrie 2021
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9980: Xingwei Lin (Ant Security Light-Year Lab)
Intrare adăugată pe 21 septembrie 2020 și actualizată pe 19 octombrie 2020
GeoServices
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată poate citi informații de localizare sensibile
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-9933: Min (Spark) Zheng și Xiaolong Bai (Alibaba Inc).
iAP
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator cu o poziție privilegiată în rețea poate reuși să efectueze un atac de negare a serviciului folosind pachete Bluetooth cu format incorect
Descriere: în Bluetooth a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-9914: Andy Davis (NCC Group)
Actualizare intrare: 28 iulie 2020
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării intrării.
CVE-2020-27933: Xingwei Lin (Ant-Financial Light-Year Security Lab)
Intrare adăugată pe 16 martie 2021
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: au existat mai multe probleme de depășire a memoriei-tampon în openEXR
Descriere: mai multe probleme legate de openEXR au fost rezolvate prin îmbunătățirea verificărilor.
CVE-2020-11758: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11759: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11760: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11761: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11762: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11763: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11764: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11765: Xingwei Lin (Ant-Financial Light-Year Security Lab)
Intrare adăugată la 8 septembrie 2020
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9871: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9872: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9874: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9879: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9936: Mickey Jin (Trend Micro)
CVE-2020-9937: Xingwei Lin (Ant-Financial Light-Year Security Lab)
Actualizare intrare: 10 august 2020
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2020-9919: Mickey Jin (Trend Micro)
Intrare adăugată pe 28 iulie 2020
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9876: Mickey Jin (Trend Micro)
Intrare adăugată pe 28 iulie 2020
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9984: un cercetător anonim
Intrare adăugată pe marţi, 28 iulie 2020 și actualizată 21 septembrie 2020
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9877: Xingwei Lin (Ant-Financial Light-Year Security Lab)
Intrare adăugată la 10 august 2020
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2020-9875: Mickey Jin (Trend Micro)
Intrare adăugată la 10 august 2020
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator dintr-o poziție privilegiată din rețea poate reuși să injecteze în conexiuni active dintr-un tunel VPN
Descriere: o problemă de rutare a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2019-14899: William J. Tolley, Beau Kujath și Jedidiah R. Crandall
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9909: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-9904: Tielei Wang (Pangu Lab)
Intrare adăugată pe 28 iulie 2020
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-9863: Xinru Chi (Pangu Lab)
Actualizare intrare: 10 august 2020
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea gestionării stării.
CVE-2020-9892: Andy Nguyen (Google)
Intrare adăugată la 10 august 2020
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-9902: Xinru Chi și Tielei Wang (Pangu Lab)
Intrare adăugată la 10 august 2020
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2020-9905: Raz Mashat (@RazMashat) (ZecOps)
Intrare adăugată la 31 august 2020
libxml2
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9926: problemă găsită de OSS-Fuzz
Intrare adăugată pe 16 martie 2021
Model I/O
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2020-9880: Holger Fuhrmannek (Deutsche Telekom Security)
Adăugare intrare: 21 septembrie 2020
Model I/O
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2020-9878: Aleksandar Nikolic de la Cisco Talos, Holger Fuhrmannek de la Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek (Deutsche Telekom Security)
Adăugare intrare: 21 septembrie 2020
Security
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca un atacator să fi putut uzurpa identitatea unui site de încredere folosind materiale cheie pentru un certificat adăugat de administrator
Descriere: a existat o problemă de validare a certificatului la procesarea certificatelor adăugate de administrator. Această problemă a fost rezolvată prin îmbunătățirea validării certificatelor.
CVE-2020-9868: Brian Wolff (Asana)
Intrare adăugată pe 28 iulie 2020
sysdiagnose
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: a existat o problemă în logica de validare a căilor pentru linkuri simbolice. Această problemă a fost rezolvată printr-o îmbunătățire a corectării căilor.
CVE-2020-9901: Tim Michaud (@TimGMichaud) de la Leviathan, Zhongcheng Li (CK01) de la Zero-dayits Team (Legendsec la Qi'anxin Group)
Adăugare intrare: 10 august 2020; actualizare intrare: 31 august 2020
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9894: 0011 lucrând cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului
Descriere: a existat o problemă de acces în politica CSP (Content Security Policy). Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.
CVE-2020-9915: Ayoub AIT ELMOKHTAR (Noon)
Actualizare intrare: 28 iulie 2020
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-9925: un cercetător anonim
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9893: 0011 lucrând cu Trend Micro Zero Day Initiative
CVE-2020-9895: Wen Xu (SSLab, Georgia Tech)
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator cu rea intenție cu capacitate arbitrară de citire și scriere poate reuși să evite autentificarea cursorului
Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea logicii.
CVE-2020-9910: Samuel Groß de la Google Project Zero
WebKit Page Loading
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator cu rea intenție poate reuși să ascundă destinația unui URL
Descriere: a fost rezolvată o problemă de codificare Unicode a URL-ului prin îmbunătățirea gestionării stării.
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
WebKit Web Inspector
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: copierea unui URL din Inspectorul web poate duce la injectarea de comenzi
Descriere: a existat o problemă de injectare de comenzi în Inspectorul web. Această problemă a fost rezolvată prin îmbunătățirea eludării.
CVE-2020-9862: Ophir Lojkine (@lovasoa)
WebRTC
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator aflat într-o poziție privilegiată în rețea ar putea provoca coruperea segmentelor printr-un flux creat SCTP
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-6514: natashenka (Google Project Zero)
Adăugare intrare: 21 septembrie 2020
Wi-Fi
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9918: Jianjun Dai de la 360 Alpha Lab lucrând cu 360 BugCloud (bugcloud.360.cn)
Alte mențiuni
CoreFoundation
Dorim să îi mulțumim lui Bobby Pelletier pentru asistența acordată.
Intrare adăugată la 8 septembrie 2020
ImageIO
Dorim să-i mulțumim lui Xingwei Lin (Ant-financial Light-Year Security Lab) pentru asistența acordată.
Adăugare intrare: 21 septembrie 2020
Kernel
Dorim să îi mulțumim lui Brandon Azad (Google Project Zero) pentru asistența acordată.