Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
tvOS 13.3.1
Yayınlanma tarihi: 28 Ocak 2020
Audio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3857: Qihoo 360 Vulcan Team'den Zhuo Liang
files
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Giriş eklenme tarihi: 19 Ocak 2022
ImageIO
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3826: Google Project Zero'dan Samuel Groß
CVE-2020-3870
CVE-2020-3878: Google Project Zero'dan Samuel Groß
CVE-2020-3880: Google Project Zero'dan Samuel Groß
Giriş güncellenme tarihi: 4 Nisan 2020
IOAcceleratorFamily
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3837: Google Project Zero'dan Brandon Azad
IOUSBDeviceFamily
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8836: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng, Bloomington Indiana Üniversitesinden Luyi Xing
Giriş eklenme tarihi: 22 Haziran 2020
IPSec
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçla oluşturulmuş bir racoon konfigürasyon dosyasının yüklenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Racoon konfigürasyon dosyalarının işlenmesinde bir "artı/eksi 1 sapma" (off-by-one) sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2020-3840: @littlelailo
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2020-3875: Google Project Zero'dan Brandon Azad
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2020-3872: Cognite'tan Haakon Garseg Mørk ve Cim Stordal
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir
Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.
CVE-2020-3836: Google Project Zero'dan Brandon Azad
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3842: Ned Williamson (Google Project Zero ile)
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-3853: Google Project Zero'dan Brandon Azad
libxml2
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2020-3846: Ranier Vilela
Giriş eklenme tarihi: 29 Ocak 2020
libxpc
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-3856: Google Project Zero'dan Ian Beer
libxpc
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3829: Google Project Zero'dan Ian Beer
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2020-3825: Euvic'ten Przemysław Sporysz
CVE-2020-3868: Cisco Talos'tan Marcin Towalski
Giriş güncellenme tarihi: 29 Ocak 2020
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir web sitesi, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2020-3862: Google Chrome'dan Srikanth Gatta
Giriş eklenme tarihi: 29 Ocak 2020
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3867: anonim bir araştırmacı
Giriş eklenme tarihi: 29 Ocak 2020
WebKit Page Loading
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Üst düzey bir DOM nesnesine ait bağlam yanlış biçimde güvenli olarak değerlendirilebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Giriş eklenme tarihi: 29 Ocak 2020, giriş güncellenme tarihi: 11 Şubat 2020
WebKit Page Loading
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: DOM nesnesine ait bağlam benzersiz bir güvenlik kaynağına sahip olmamış olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Giriş eklenme tarihi: 11 Şubat 2020
wifivelocityd
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ek teşekkür listesi
IOSurface
Liang Chen'e (@chenliang0817) yardımı için teşekkür ederiz.