Despre conținutul de securitate din tvOS 14.0

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

Data publicării: 16 septembrie 2020

Assets

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un atacator poate reuși să folosească necorespunzător o relație de încredere pentru a descărca un conținut dăunător

Descriere: o problemă de securitate a fost remediată prin eliminarea unui API vechi.

CVE-2020-9979: CodeColorist (LightYear Security Lab) (AntGroup)

Intrare actualizată pe 12 noiembrie 2020

Audio

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9943: JunDong Xie de la Ant Group Light-Year Security Lab

Intrare adăugată pe 12 noiembrie 2020

Audio

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9944: JunDong Xie de la Ant Group Light-Year Security Lab

Intrare adăugată pe 12 noiembrie 2020

CoreAudio

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9960: JunDong Xie și Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 16 martie 2021

CoreAudio

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: redarea unui fișier audio cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2020-9954: Francis în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie (Ant Group Light-Year Security Lab)

Intrare adăugată pe 12 noiembrie 2020

CoreCapture

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9949: Proteas

Intrare adăugată pe 12 noiembrie 2020

CoreText

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-9999: Apple

Intrare adăugată pe 15 decembrie 2020

Disk Images

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Intrare adăugată pe 12 noiembrie 2020

FontParser

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-29629: un cercetător anonim

Intrare adăugată pe 19 ianuarie 2022

FontParser

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9956: Mickey Jin și Junzhi Lu (Trend Micro Mobile Security Research Team), în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 16 martie 2021

FontParser

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Intrare adăugată pe 16 martie 2021

FontParser

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-27931: Apple

Intrare adăugată pe 16 martie 2021

FontParser

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor. 

CVE-2020-29639: Mickey Jin și Qi Sun (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 21 iulie 2021

HomeKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un atacator cu poziție privilegiată în rețea poate modifica în mod neașteptat starea aplicației

Descriere: această problemă a fost rezolvată prin îmbunătățirea propagării configurării.

CVE-2020-9978: Luyi Xing, Dongfang Zhao și Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University și University of Chinese Academy of Sciences) și Bin Yuan (HuaZhong University of Science and Technology)

Intrare adăugată pe 16 martie 2021

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier .tiff creat cu rea intenție ar putea provoca un refuz al serviciului sau ar putea dezvălui conținutul memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-36521: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Intrare adăugată pe 25 mai 2022

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 12 noiembrie 2020

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 15 decembrie 2020

ImageIO

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9876: Mickey Jin (Trend Micro)

Intrare adăugată pe 12 noiembrie 2020

Kernel

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Intrare adăugată pe 16 martie 2021

Kernel

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Intrare adăugată pe 16 martie 2021

Keyboard

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH), Hamburg, Germania

libxml2

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9981: problemă găsită de OSS-Fuzz

Intrare adăugată pe 12 noiembrie 2020

libxpc

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2020-9971: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)

Intrare adăugată pe 15 decembrie 2020

Sandbox

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: este posibil ca un utilizator local să vadă informații sensibile despre utilizator

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2020-9969: Wojciech Reguła de la SecuRing (wojciechregula.blog)

Intrare adăugată pe 12 noiembrie 2020

Sandbox

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2020-9968: Adam Chester(@_xpn_) (TrustedSec)

Intrare actualizată pe 17 septembrie 2020

SQLite

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un atacator la distanță poate provoca un refuz al serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Intrare adăugată pe 12 noiembrie 2020

SQLite

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: probleme multiple în SQLite

Descriere: au fost rezolvate mai multe probleme prin actualizarea SQLite la versiunea 3.32.3.

CVE-2020-15358

Intrare adăugată pe 12 noiembrie 2020

SQLite

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o interogare SQL creată cu rea intenție poate cauza coruperea datelor

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-13631

Intrare adăugată pe 12 noiembrie 2020

SQLite

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.

CVE-2020-9849

Intrare adăugată pe 12 noiembrie 2020

SQLite

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-13630

Intrare adăugată pe 12 noiembrie 2020

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9947: cc în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2020-9950: cc în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2020-9951: Marcin 'Icewall' Noga (Cisco Talos)

Intrare adăugată pe 12 noiembrie 2020

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9983: zhunki

Intrare adăugată pe 12 noiembrie 2020

WebKit

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Wi-Fi

Disponibilitate pentru: Apple TV 4K și Apple TV HD

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-10013: Yu Wang (Didi Research America)

Intrare adăugată pe 12 noiembrie 2020

802.1X

Dorim să le mulțumim pentru asistență lui Kenana Dalle de la Hamad bin Khalifa University și lui Ryan Riley de la Carnegie Mellon University din Qatar.

Intrare adăugată pe 15 decembrie 2020

Audio

Dorim să le mulțumim lui JunDong Xie și lui Xingwei Lin (Ant-Financial Light-Year Security Lab) pentru asistența acordată.

Intrare adăugată pe 16 martie 2021

Audio

Dorim să le mulțumim lui JunDong Xie și lui XingWei Lin (Ant-Financial Light-Year Security Lab) pentru asistența acordată.

Intrare adăugată pe 12 noiembrie 2020

Bluetooth

Dorim să le mulțumim lui Andy Davis (NCC Group) și lui Dennis Heinze (@ttdennis) de la TU Darmstadt, Secure Mobile Networking Lab pentru asistență.

Clang

Dorim să îi mulțumim lui Brandon Azad (Google Project Zero) pentru asistența acordată.

Intrare adăugată pe 12 noiembrie 2020

Core Location

Dorim să îi mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.

Crash Reporter

Dorim să îi mulțumim pentru asistență lui Artur Byszko (AFINE).

Intrare adăugată pe 15 decembrie 2020

iAP

Dorim să îi mulțumim lui Andy Davis (NCC Group) pentru asistența acordată.

Kernel

Dorim să îi mulțumim pentru asistență lui Brandon Azad de la Google Project Zero și lui Stephen Röttger de la Google pentru asistență.

Intrare actualizată pe 12 noiembrie 2020

libxml2

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Intrare adăugată pe 16 martie 2021

Location Framework

Dorim să îi mulțumim lui Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) pentru asistență.

Intrare actualizată pe 19 octombrie 2020

Safari

Dorim să-i mulțumim lui Ryan Pickren (ryanpickren.com) pentru asistență.

Intrare adăugată pe 12 noiembrie 2020

WebKit

Dorim să le mulțumim lui Pawel Wylecial de la REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), Zhiyang Zeng (@Wester) de la OPPO ZIWU Security Lab, Maximilian Blochberger de la Security in Distributed Systems Group of University of Hamburg pentru asistență.

Intrare adăugată pe 12 noiembrie 2020 și actualizată pe 25 mai 2022