Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 14.2
Publicare: 5 noiembrie 2020
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27910: JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)
Audio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-10017: Francis în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27908: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)
CVE-2020-27909: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)
Actualizare intrare: 16 martie 2021
CoreText
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-27922: Mickey Jin (Trend Micro)
Adăugare intrare: 16 martie 2021
Crash Reporter
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: a existat o problemă în logica de validare a căilor pentru linkuri simbolice. Această problemă a fost rezolvată printr-o îmbunătățire a corectării căilor.
CVE-2020-10003: Tim Michaud (@TimGMichaud) (Leviathan)
FontParser
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)
Foundation
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un utilizator local ar putea să citească fișiere arbitrare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-10002: James Hutchins
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27924: Lei Sun
Adăugare intrare: 16 martie 2021
ImageIO
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27923: Lei Sun
Actualizare intrare: 16 martie 2021
IOAcceleratorFamily
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-10016: Alex Helie
libxml2
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27917: problemă găsită de OSS-Fuzz
CVE-2020-27920: problemă găsită de OSS-Fuzz
Actualizare intrare: 16 martie 2021
libxml2
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2020-27911: problemă găsită de OSS-Fuzz
Înregistrarea în jurnal
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2020-10010: Tommy Muir (@Muirey03)
Model I/O
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)
Intrare adăugată pe 15 decembrie 2020
Model I/O
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)
Adăugare intrare: 16 martie 2021
Symptom Framework
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27899: 08Tc3wBB în colaborare cu ZecOps
Intrare adăugată pe 15 decembrie 2020
WebKit
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)
Actualizare intrare: 16 martie 2021
XNU
Disponibilitate pentru: Apple TV 4K și Apple TV HD
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea logicii.
CVE-2020-27935: Lior Halphon (@LIJI32)
Intrare adăugată pe 15 decembrie 2020