Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
tvOS 13.4.5
Yayınlanma tarihi: 26 Mayıs 2020
Accounts
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2020-9827: Darmstadt Teknik Üniversitesindeki SEEMOO'dan Jannik Lorenz
AppleMobileFileIntegrity
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama özel bilgilere erişmek ve ayrıcalıklı eylemler gerçekleştirmek için sistem işlemleriyle etkileşime girebilir
Açıklama: Ayrıştırma işlemi iyileştirilerek bir hak ayrıştırma sorunu giderildi.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-9815: Yu Zhou (@yuzhou6666) (Trend Micro'nun Zero Day Initiative programıyla)
Audio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-9791: Yu Zhou (@yuzhou6666) (Trend Micro'nun Zero Day Initiative programıyla)
CoreText
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2020-9829: Aaron Perris (@aaronp613), anonim bir araştırmacı, anonim bir araştırmacı, Carlos S Tech, Sam's Lounge'dan Sam Menzies, Hindistan'daki Lovely Professional University'den Sufiyan Gouri, Arabic-Classroom.com'dan Suleman Hasan Rathor
FontParser
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-9816: STAR Labs'den Peter Nguyen Vu Hoang (Trend Micro'nun Zero Day Initiative programıyla)
ImageIO
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-3878: Google Project Zero'dan Samuel Groß
ImageIO
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2020-9789: VARAS@IIE şirketinden Wenchao Li
CVE-2020-9790: Ant-financial Light-Year Security Lab'den Xingwei Lin
IPSec
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-9837: Computest'ten Thijs Alkemade
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-9821: Pangu Lab'den Xinru Chi ve Tielei Wang
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama başka bir uygulamanın bellek yerleşimini belirleyebilir
Açıklama: Savunmasız kod kaldırılarak, bilgilerin açığa çıkması sorunu giderildi.
CVE-2020-9797: anonim bir araştırmacı
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2020-9852: Pangu Lab'den Tao Huang ve Tielei Wang
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2020-9795: Qihoo 360 Vulcan Team'den Zhuo Liang
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.
CVE-2020-9808: Pangu Lab'den Xinru Chi ve Tielei Wang
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir
Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.
CVE-2020-9811: Pangu Lab'den Tielei Wang
CVE-2020-9812: derrek (@derrekr6)
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek bozulmasına neden olan bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2020-9813: Pangu Lab'den Xinru Chi
CVE-2020-9814: Pangu Lab'den Xinru Chi ve Tielei Wang
Kernel
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir
Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.
CVE-2020-9994: Apple
Giriş eklenme tarihi: 21 Eylül 2020
rsync
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Uzaktaki bir saldırgan mevcut dosyaların üzerine yazabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2014-9512: gaojianfeng
Giriş eklenme tarihi: 28 Temmuz 2020
Security
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9854: Ilias Morad (A2nkF)
Giriş eklenme tarihi: 28 Temmuz 2020
SQLite
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama servis reddine veya bellek içeriğinin açığa çıkmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2020-9794
System Preferences
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.
CVE-2020-9839: @SSLab_Gatech'ten @jinmo123, @setuid0x0_ ve @insu_yun_en (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9805: anonim bir araştırmacı
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9802: Google Project Zero'dan Samuel Groß
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2020-9850: @SSLab_Gatech'ten @jinmo123, @setuid0x0_ ve @insu_yun_en (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-9803: Georgia Tech'teki SSLab'den Wen Xu
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2020-9806: Georgia Tech'teki SSLab'den Wen Xu
CVE-2020-9807: Georgia Tech'teki SSLab'den Wen Xu
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2020-9800: Brendan Draper (@6r3nd4n) (Trend Micro'nun Zero Day Initiative programıyla)
WebRTC
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek bir erişim sorunu giderildi.
CVE-2019-20503: Google Project Zero'dan natashenka
Ek teşekkür listesi
CoreText
Secure Mobile Networking Lab'den Jiska Classen (@naehrdine) ve Dennis Heinze'a (@ttdennis) yardımları için teşekkür ederiz.
ImageIO
Lei Sun'a yardımı için teşekkür ederiz.
IOHIDFamily
NCC Group'tan Andy Davis'e yardımı için teşekkür ederiz.
IPSec
Computest'ten Thijs Alkemade'ye yardımı için teşekkür ederiz.
Giriş eklenme tarihi: 10 Ağustos 2020
Kernel
Google Project Zero'dan Brandon Azad'a yardımı için teşekkür ederiz.
Safari
Manchester Metropolitan Üniversitesinden Luke Walker'a yardımı için teşekkür ederiz.
WebKit
UT Austin'den Aidan Dunlap'a yardımı için teşekkür ederiz.