Obsah zabezpečenia v systéme tvOS 13.4.5

V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 13.4.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

tvOS 13.4.5

Accounts

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9827: Jannik Lorenz z tímu SEEMOO na Technickej univerzite v Darmstadte

AppleMobileFileIntegrity

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Škodlivá aplikácia môže na základe interakcií so systémovými procesmi získať prístup k súkromným informáciám a vykonávať privilegované akcie

Popis: Dochádzalo k problému s oprávneniami, ktorý bol vyriešený vylepšením syntaktickej analýzy.

CVE-2020-9842: Linus Henze (pinauten.de)

Audio

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9815: Yu Zhou (@yuzhou6666) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Audio

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9791: Yu Zhou (@yuzhou6666) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreText

Dostupné pre: Apple TV 4K a Apple TV HD

Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k odmietnutiu služby aplikácie

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2020-9829: Aaron Perris (@aaronp613), anonymný výskumník, anonymný výskumník, Carlos S Tech, Sam Menzies z tímu Sam’s Lounge, Sufiyan Gouri z Lovely Professional University v Indii, Suleman Hasan Rathor z tímu Arabic-Classroom.com

FontParser

Dostupné pre: Apple TV 4K a Apple TV HD

Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9816: Peter Nguyen Vu Hoang z tímu STAR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-3878: Samuel Groß z tímu Google Project Zero

ImageIO

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9789: Wenchao Li z tímu VARAS@IIE

CVE-2020-9790: Xingwei Lin z tímu Light-Year Security Lab spoločnosti Ant-Financial

IPSec

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9837: Thijs Alkemade zo spoločnosti Computest

Kernel

Dostupné pre: Apple TV 4K a Apple TV HD

Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9821: Xinru Chi a Tielei Wang z tímu Pangu Lab

Kernel

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte inej aplikácie

Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2020-9797: Anonymný výskumník

Kernel

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9852: Tao Huang a Tielei Wang z tímu Pangu Lab

Kernel

Dostupné pre: Apple TV 4K a Apple TV HD

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-9795: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360

Kernel

Dostupné pre: Apple TV 4K a Apple TV HD

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9808: Xinru Chi a Tielei Wang z tímu Pangu Lab

Kernel

Dostupné pre: Apple TV 4K a Apple TV HD

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9811: Tielei Wang z tímu Pangu Lab

CVE-2020-9812: derrek (@derrekr6)

Kernel

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý spôsoboval poškodenie pamäte. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2020-9813: Xinru Chi z tímu Pangu Lab

CVE-2020-9814: Xinru Chi a Tielei Wang z tímu Pangu Lab

Kernel

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

libxpc

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9994: Apple

rsync

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2014-9512: gaojianfeng

Security

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9854: Ilias Morad (A2nkF)

SQLite

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Aplikácia so škodlivým kódom môže spôsobiť odmietnutie služby alebo potenciálne sprístupniť obsah pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-9794

System Preferences

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2020-9839: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-9805: Anonymný výskumník

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-9802: Samuel Groß z tímu Google Project Zero

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-9850: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9803: Wen Xu z tímu SSLab na univerzite Georgia Tech

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9806: Wen Xu z tímu SSLab na univerzite Georgia Tech

CVE-2020-9807: Wen Xu z tímu SSLab na univerzite Georgia Tech

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9800: Brendan Draper (@6r3nd4n) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebRTC

Dostupné pre: Apple TV 4K a Apple TV HD

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2019-20503: natashenka z tímu Google Project Zero

Ďalšie poďakovanie

CoreText

Poďakovanie za pomoc si zaslúžia Jiska Classen (@naehrdine) a Dennis Heinze (@ttdennis) z tímu Secure Mobile Networking Lab.

ImageIO

Poďakovanie za pomoc si zaslúži Lei Sun.

IOHIDFamily

Poďakovanie za pomoc si zaslúži Andy Davis zo spoločnosti NCC Group.

IPSec

Poďakovanie za pomoc si zaslúži Thijs Alkemade zo spoločnosti Computest.

Kernel

Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.

Safari

Poďakovanie za pomoc si zaslúži Luke Walker z Manchesterskej metropolitnej univerzity.

WebKit

Poďakovanie za pomoc si zaslúži Aidan Dunlap z UT v Austine.