tvOS 13.4.5'in güvenlik içeriği hakkında

Bu belgede tvOS 13.4.5'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

tvOS 13.4.5

Accounts

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2020-9827: Darmstadt Teknik Üniversitesindeki SEEMOO'dan Jannik Lorenz

AppleMobileFileIntegrity

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama özel bilgilere erişmek ve ayrıcalıklı eylemler gerçekleştirmek için sistem işlemleriyle etkileşime girebilir

Açıklama: Ayrıştırma işlemi iyileştirilerek bir hak ayrıştırma sorunu giderildi.

CVE-2020-9842: Linus Henze (pinauten.de)

Audio

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9815: Yu Zhou (@yuzhou6666) (Trend Micro'nun Zero Day Initiative programıyla)

Audio

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9791: Yu Zhou (@yuzhou6666) (Trend Micro'nun Zero Day Initiative programıyla)

CoreText

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2020-9829: Aaron Perris (@aaronp613), anonim bir araştırmacı, anonim bir araştırmacı, Carlos S Tech, Sam's Lounge'dan Sam Menzies, Hindistan'daki Lovely Professional University'den Sufiyan Gouri, Arabic-Classroom.com'dan Suleman Hasan Rathor

FontParser

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-9816: STAR Labs'den Peter Nguyen Vu Hoang (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-3878: Google Project Zero'dan Samuel Groß

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-9789: VARAS@IIE şirketinden Wenchao Li

CVE-2020-9790: Ant-financial Light-Year Security Lab'den Xingwei Lin

IPSec

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9837: Computest'ten Thijs Alkemade

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-9821: Pangu Lab'den Xinru Chi ve Tielei Wang

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama başka bir uygulamanın bellek yerleşimini belirleyebilir

Açıklama: Savunmasız kod kaldırılarak, bilgilerin açığa çıkması sorunu giderildi.

CVE-2020-9797: anonim bir araştırmacı

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2020-9852: Pangu Lab'den Tao Huang ve Tielei Wang

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9795: Qihoo 360 Vulcan Team'den Zhuo Liang

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2020-9808: Pangu Lab'den Xinru Chi ve Tielei Wang

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.

CVE-2020-9811: Pangu Lab'den Tielei Wang

CVE-2020-9812: derrek (@derrekr6)

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek bozulmasına neden olan bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2020-9813: Pangu Lab'den Xinru Chi

CVE-2020-9814: Pangu Lab'den Xinru Chi ve Tielei Wang

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

libxpc

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2020-9994: Apple

rsync

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan mevcut dosyaların üzerine yazabilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2014-9512: gaojianfeng

Security

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9854: Ilias Morad (A2nkF)

SQLite

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama servis reddine veya bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9794

System Preferences

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2020-9839: @SSLab_Gatech'ten @jinmo123, @setuid0x0_ ve @insu_yun_en (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9805: anonim bir araştırmacı

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9802: Google Project Zero'dan Samuel Groß

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9850: @SSLab_Gatech'ten @jinmo123, @setuid0x0_ ve @insu_yun_en (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-9803: Georgia Tech'teki SSLab'den Wen Xu

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-9806: Georgia Tech'teki SSLab'den Wen Xu

CVE-2020-9807: Georgia Tech'teki SSLab'den Wen Xu

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2020-9800: Brendan Draper (@6r3nd4n) (Trend Micro'nun Zero Day Initiative programıyla)

WebRTC

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.

CVE-2019-20503: Google Project Zero'dan natashenka

Ek teşekkür listesi

CoreText

Secure Mobile Networking Lab'den Jiska Classen (@naehrdine) ve Dennis Heinze'a (@ttdennis) yardımları için teşekkür ederiz.

ImageIO

Lei Sun'a yardımı için teşekkür ederiz.

IOHIDFamily

NCC Group'tan Andy Davis'e yardımı için teşekkür ederiz.

IPSec

Computest'ten Thijs Alkemade'ye yardımı için teşekkür ederiz.

Kernel

Google Project Zero'dan Brandon Azad'a yardımı için teşekkür ederiz.

Safari

Manchester Metropolitan Üniversitesinden Luke Walker'a yardımı için teşekkür ederiz.

WebKit

UT Austin'den Aidan Dunlap'a yardımı için teşekkür ederiz.