Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 13.3.1
Dátum vydania: 28. januára 2020
Audio
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3857: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
files
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Dátum pridania záznamu: 19. januára 2022
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3826: Samuel Groß z tímu Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß z tímu Google Project Zero
CVE-2020-3880: Samuel Groß z tímu Google Project Zero
Dátum aktualizovania záznamu: 4. apríla 2020
IOAcceleratorFamily
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3837: Brandon Azad z tímu Google Project Zero
IOUSBDeviceFamily
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8836: Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z univerzity Indiana University Bloomington
Dátum pridania záznamu: 22. júna 2020
IPSec
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Načítanie konfiguračného súboru súčasti racoon s nebezpečným kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov súčasti racoon dochádzalo k chybe off-by-one. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-3840: @littlelailo
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2020-3875: Brandon Azad z tímu Google Project Zero
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3872: Haakon Garseg Mørk zo spoločnosti Cognite a Cim Stordal zo spoločnosti Cognite
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-3836: Brandon Azad z tímu Google Project Zero
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3842: Ned Williamson v spolupráci s tímom Google Project Zero
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3853: Brandon Azad z tímu Google Project Zero
libxml2
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2020-3846: Ranier Vilela
Dátum pridania záznamu: 29. januára 2020
libxpc
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3856: Ian Beer z tímu Google Project Zero
libxpc
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-3829: Ian Beer z tímu Google Project Zero
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2020-3825: Przemysław Sporysz zo spoločnosti Euvic
CVE-2020-3868: Marcin Towalski zo spoločnosti Cisco Talos
Dátum aktualizovania záznamu: 29. januára 2020
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Webová stránka so škodlivým kódom môže byť schopná spôsobiť odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-3862: Srikanth Gatta z tímu Google Chrome
Dátum pridania záznamu: 29. januára 2020
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-3867: Anonymný výskumník
Dátum pridania záznamu: 29. januára 2020
WebKit Page Loading
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Kontext objektu DOM najvyššej úrovne sa mohol nesprávne považovať za bezpečný
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Dátum pridania záznamu: 29. januára 2020, dátum aktualizovania: 11. februára 2020
WebKit Page Loading
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Kontext objektu DOM nemusel mať jedinečný pôvod zabezpečenia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Dátum pridania záznamu: 11. februára 2020
wifivelocityd
Dostupné pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ďalšie poďakovanie
IOSurface
Poďakovanie za pomoc si zaslúži Liang Chen (@chenliang0817).