O varnostnih posodobitvah družbe Apple
Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.
Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.
Za več informacij o varnosti obišči stran Varnost izdelkov Apple.
tvOS 13.3.1
Izdan 28. januarja 2020
Zvok
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3857: Zhuo Liang iz ekipe podjetja Qihoo 360 Vulcan
ImageIO
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: obdelava zlonamerno oblikovane slike lahko povzroči izvedbo poljubne kode
Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.
CVE-2020-3826: Samuel Groß iz podjetja Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß iz podjetja Google Project Zero
CVE-2020-3880: Samuel Groß iz podjetja Google Project Zero
Vnos je bil posodobljen 4. aprila 2020
IOAcceleratorFamily
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3837: Brandon Azad iz podjetja Google Project Zero
IPSec
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: nalaganje zlonamerno oblikovane konfiguracijske datoteke racoon lahko povzroči izvedbo poljubne kode
Opis: pri obdelavi konfiguracijskih datotek racoon je prihajalo do napake »off-by-one« (napaka za eno). Ta težava je odpravljena z izboljšanim preverjanjem mej.
CVE-2020-3840: @littlelailo
Jedro
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: aplikacija morda lahko prebere omejeni pomnilnik
Opis: odpravljena je težava s preverjanjem veljavnosti, in sicer z izboljšanim čiščenjem vnosa.
CVE-2020-3875: Brandon Azad iz podjetja Google Project Zero
Jedro
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: aplikacija morda lahko prebere omejeni pomnilnik
Opis: odpravljena je težava z inicializacijo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3872: Haakon Garseg Mørk iz podjetja Cognite in Cim Stordal iz odjetja Cognite
Jedro
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: zlonamerna aplikacija morda lahko določi razporeditev vsebine pomnilnika jedra
Opis: odpravljena je težava z dostopom, in sicer z izboljšanim upravljanjem pomnilnika.
CVE-2020-3836: Brandon Azad iz podjetja Google Project Zero
Jedro
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3842: Ned Williamson v sodelovanju s podjetjem Google Project Zero
Jedro
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: lokalna aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava z nejasnimi vrstami, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3853: Brandon Azad iz podjetja Google Project Zero
libxml2
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: obdelava zlonamerno oblikovane datoteke XML lahko povzroči nepričakovano zaustavitev aplikacije ali izvedbo poljubne kode
Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem velikosti.
CVE-2020-3846: Ranier Vilela
Vnos je bil dodan 29. januarja 2020
libxpc
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: obdelava zlonamerno oblikovanega niza lahko povzroči poškodbo konice
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem vnosa.
CVE-2020-3856: Ian Beer iz podjetja Google Project Zero
libxpc
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: aplikacija morda lahko pridobi skrbniške pravice
Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem mej.
CVE-2020-3829: Ian Beer iz podjetja Google Project Zero
WebKit
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3825: Przemysław Sporysz iz podjetja Euvic
CVE-2020-3868: Marcin Towalski iz podjetja Cisco Talos
Vnos je bil posodobljen 29. januarja 2020
WebKit
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: zlonamerno spletno mesto morda lahko povzroči zavrnitev storitve
Opis: odpravljena je težava z zavrnitvijo storitve, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3862: Srikanth Gatta iz podjetja Google Chrome
Vnos je bil dodan 29. januarja 2020
WebKit
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči splošno križno izvajanje skriptov
Opis: odpravljena je težava z logiko, in sicer z izboljšanim upravljanjem stanja.
CVE-2020-3867: anonimni raziskovalec
Vnos je bil dodan 29. januarja 2020
Nalaganje strani WebKit
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: kontekst predmeta na najvišji ravni DOM je bil morda nepravilno obravnavan kot varen
Opis: odpravljena je težava z logiko, in sicer z izboljšanim preverjanjem.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Vnos je bil dodan 29. januarja 2020 in posodobljen 11. februarja 2020
Nalaganje strani WebKit
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: kontekst predmeta DOM morda ni vseboval enoličnega izvora varnosti
Opis: odpravljena je težava z logiko, in sicer z izboljšanim preverjanjem.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Vnos je bil dodan 11. februarja 2020
wifivelocityd
Na voljo za: Apple TV 4K in Apple TV HD
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: ta težava je odpravljena z izboljšano logiko dovoljenj.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Dodatne zahvale
IOSurface
Za pomoč se zahvaljujemo Liang Chen (@chenliang0817).