tvOS 13.4'ün güvenlik içeriği hakkında

Bu belgede tvOS 13.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Bu belgede tvOS 13.4'ün güvenlik içeriği açıklanmaktadır

Hesaplar

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9772: UC Berkeley'den Allison Husain

ActionKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama, özel çerçeveler tarafından sağlanan bir SSH istemcisini kullanabilir

Açıklama: Yeni bir yetki ile bu sorun giderildi.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama rastgele yetkiler kullanabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-3883: Linus Henze (pinauten.de)

Görüntü İşleme

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3919: F-Secure Consulting'den Alex Plaskett

Çekirdek

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2020-3914: WaCai şirketinden pattern-f (@pattern_F_)

Çekirdek

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2020-9785: Qihoo 360 Nirvan Team'den Proteas

libxml2

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: libxml2'de birden çok sorun

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3909: LGTM.com

CVE-2020-3911: OSS-Fuzz tarafından bulundu

libxml2

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: libxml2'de birden çok sorun

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-3910: LGTM.com

Korumalı Alan (Sandbox)

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Yerel bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2020-3918: Outcourse Limited'den Augusto Alvarez

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bazı web siteleri Safari Tercihlerinde görünmüyor olabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Venustech ADLab'den Dongzhuo Zhao

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2020-3894: Google Project Zero'dan Sergei Glazunov

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2020-3899: OSS-Fuzz tarafından bulundu

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: İndirme işlemlerinin kaynağı yanlış şekilde ilişkilendirilebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9783: Apple

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-3897: Brendan Draper (@6r3nd4n) (Trend Micro'nun Zero Day Initiative programıyla)

WebKit Sayfa Yüklemesi

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Dosya URL'leri yanlış şekilde işlenebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

Ek teşekkür listesi

FontParser

Google Chrome'dan Matthew Denton'a yardımı için teşekkür ederiz.

Çekirdek

Siguza'ya yardımı için teşekkür ederiz.

LinkPresentation

Travis'e yardımı için teşekkür ederiz.

WebKit

Mozilla'dan Emilio Cobos Álvarez'e, Google Project Zero'dan Samuel Groß'a, hearmen'a yardımları için teşekkür ederiz.