tvOS 13.3.1'in güvenlik içeriği hakkında
Bu belgede tvOS 13.3.1'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
tvOS 13.3.1
Audio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3857: Qihoo 360 Vulcan Team'den Zhuo Liang
files
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
ImageIO
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3826: Google Project Zero'dan Samuel Groß
CVE-2020-3870
CVE-2020-3878: Google Project Zero'dan Samuel Groß
CVE-2020-3880: Google Project Zero'dan Samuel Groß
IOAcceleratorFamily
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3837: Google Project Zero'dan Brandon Azad
IOUSBDeviceFamily
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8836: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing
IPSec
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçla oluşturulmuş bir racoon konfigürasyon dosyasının yüklenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Racoon konfigürasyon dosyalarının işlenmesinde bir "artı/eksi 1 sapma" (off-by-one) sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2020-3840: @littlelailo
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2020-3875: Google Project Zero'dan Brandon Azad
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2020-3872: Cognite'tan Haakon Garseg Mørk ve Cim Stordal
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir
Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.
CVE-2020-3836: Google Project Zero'dan Brandon Azad
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3842: Ned Williamson (Google Project Zero ile)
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-3853: Google Project Zero'dan Brandon Azad
libxml2
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2020-3846: Ranier Vilela
libxpc
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3856: Google Project Zero'dan Ian Beer
libxpc
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3829: Google Project Zero'dan Ian Beer
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2020-3825: Euvic'ten Przemysław Sporysz
CVE-2020-3868: Cisco Talos'tan Marcin Towalski
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir web sitesi, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2020-3862: Google Chrome'dan Srikanth Gatta
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3867: anonim bir araştırmacı
WebKit Page Loading
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Üst düzey bir DOM nesnesine ait bağlam yanlış biçimde güvenli olarak değerlendirilebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
WebKit Page Loading
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: DOM nesnesine ait bağlam benzersiz bir güvenlik kaynağına sahip olmamış olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
wifivelocityd
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ek teşekkür listesi
IOSurface
Liang Chen'e (@chenliang0817) yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.