O varnostni vsebini sistema tvOS 13.4

Ta dokument opisuje varnostno vsebino sistema tvOS 13.4.

O varnostnih posodobitvah družbe Apple

Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Zadnje izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.

Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.

Za več informacij o varnosti obišči stran Varnost izdelkov Apple.

Ta dokument opisuje varnostno vsebino sistema tvOS 13.4

ActionKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko uporabi odjemalca SSH, ki ga zagotavljajo zasebna ogrodja

Opis: ta težava je odpravljena z novo pravico.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko pridobi poljubne pravice

Opis: ta težava je odpravljena z izboljšanimi pregledi.

CVE-2020-3883: Linus Henze (pinauten.de)

Ikone

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: zlonamerna aplikacija morda lahko prepozna druge aplikacije, ki jih je namestil uporabnik

Opis: ta težava je odpravljena z izboljšano obdelavo predpomnilnikov ikon.

CVE-2020-9773: Chilik Tamir iz podjetja Zimperium zLabs

Obdelava slik

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava z uporabo po poteku brezplačne različice, in sicer z izboljšanim upravljanjem pomnilnika.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: lokalna aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava z inicializacijo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3919: anonimni raziskovalec

Jedro

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko prebere omejeni pomnilnik

Opis: odpravljena je težava z inicializacijo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3914: pattern-f (@pattern_F_) iz podjetja WaCai

Jedro

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: lokalna aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšanim upravljanjem stanja.

CVE-2020-9785: Proteas iz skupine Qihoo 360 Nirvan

libxml2

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: več težav v knjižnici libxml2

Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem mej.

CVE-2020-3909: LGTM.com

CVE-2020-3911: našel OSS-Fuzz

libxml2

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: več težav v knjižnici libxml2

Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem velikosti.

CVE-2020-3910: LGTM.com

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao v sodelovanju z ADLab podjetja Venustech

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko prebere omejeni pomnilnik

Opis: odpravljeno je nedoločeno sinhronizacijsko stanje, in sicer z izboljšanim preverjanjem pristnosti.

CVE-2020-3894: Sergei Glazunov iz podjetja Google Project Zero

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: oddaljeni napadalec lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava s porabo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3899: našel OSS-Fuzz

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči napad s križnim izvajanjem skriptov

Opis: odpravljena je težava s preverjanjem vnosa, in sicer z izboljšanim preverjanjem vnosa.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava z nejasnimi vrstami, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: izvor prenosa je morda nepravilno povezan

Opis: odpravljena je težava z logiko, in sicer z izboljšanimi omejitvami.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo kode

Opis: odpravljena je težava z uporabo po poteku brezplačne različice, in sicer z izboljšanim upravljanjem pomnilnika.

CVE-2020-9783: Apple

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: oddaljeni napadalec lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava z nejasnimi vrstami, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3897: Brendan Draper (@6r3nd4n) v sodelovanju s člani programa Trend Micro’s Zero Day Initiative

Nalaganje strani WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: URL datoteke je morda nepravilno obdelan

Opis: odpravljena je težava z logiko, in sicer z izboljšanimi omejitvami.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

Dodatne zahvale

FontParser

Za pomoč se zahvaljujemo Matthewu Dentonu iz podjetja Google Chrome.

Jedro

Za pomoč se zahvaljujemo Siguzi.

LinkPresentation

Za pomoč se zahvaljujemo Travisu.

WebKit

Za pomoč se zahvaljujemo Emiliu Cobosu Álvarezu iz podjetja Mozilla, Samuelu Großu iz podjetja Google Project Zero in uporabniku hearmen.