tvOS 14.0'ın güvenlik içeriği hakkında

Bu belgede tvOS 14.0'ın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

tvOS 14.0

Yayınlanma tarihi: 16 Eylül 2020

Assets

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir saldırgan, kötü amaçlı içerikleri indirmek üzere güven ilişkisini kötüye kullanabilir

Açıklama: Eski bir API kaldırılarak güven sorunu giderildi.

CVE-2020-9979: Ant Group Light-Year Security Lab'den CodeColorist

Giriş güncellenme tarihi: 12 Kasım 2020

Audio

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9943: Ant Group Light-Year Security Lab'den JunDong Xie

Giriş eklenme tarihi: 12 Kasım 2020

Audio

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9944: Ant Group Light-Year Security Lab'den JunDong Xie

Giriş eklenme tarihi: 12 Kasım 2020

CoreAudio

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9960: Ant Security Light-Year Lab'den JunDong Xie ve Xingwei Lin

Giriş eklenme tarihi: 16 Mart 2021

CoreAudio

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir ses dosyasını çalmak rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-9954: Francis (Trend Micro'nun Zero Day Initiative programıyla), Ant Group Light-Year Security Lab'den JunDong Xie

Giriş eklenme tarihi: 12 Kasım 2020

CoreCapture

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9949: Proteas

Giriş eklenme tarihi: 12 Kasım 2020

CoreText

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-9999: Apple

Giriş eklenme tarihi: 15 Aralık 2020

Disk Images

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Giriş eklenme tarihi: 12 Kasım 2020

FontParser

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama sınırlandırılmış belleği okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-29629: anonim bir araştırmacı

Giriş eklenme tarihi: 19 Ocak 2022

FontParser

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9956: Trend Micro Mobile Security Research Team'den Mickey Jin ve Junzhi Lu (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 16 Mart 2021

FontParser

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Giriş eklenme tarihi: 16 Mart 2021

FontParser

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2020-27931: Apple

Giriş eklenme tarihi: 16 Mart 2021

FontParser

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi. 

CVE-2020-29639: Trend Micro'dan Mickey Jin ve Qi Sun (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 21 Temmuz 2021

HomeKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, uygulama durumunu beklenmedik şekilde değiştirebilir

Açıklama: Ayarların yayılması iyileştirilerek bu sorun giderildi.

CVE-2020-9978: Bloomington Indiana Üniversitesinden Luyi Xing, Dongfang Zhao ve Xiaofeng Wang, Xidian Üniversitesi ve Çin Bilimler Akademisi Üniversitesinden Yan Jia, HuaZhong Bilim ve Teknoloji Üniversitesinden Bin Yuan

Giriş eklenme tarihi: 16 Mart 2021

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçla geliştirilmiş bir tiff dosyasının işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-36521: Ant-Financial Light-Year Security Lab'den Xingwei Lin

Giriş eklenme tarihi: 25 Mayıs 2022

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2020-9961: Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 12 Kasım 2020

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-9955: Trend Micro'dan Mickey Jin, Ant Security Light-Year Lab'den Xingwei Lin

Giriş eklenme tarihi: 15 Aralık 2020

ImageIO

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-9876: Trend Micro'dan Mickey Jin

Giriş eklenme tarihi: 12 Kasım 2020

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Giriş eklenme tarihi: 16 Mart 2021

Kernel

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9975: Pangu Lab'den Tielei Wang

Giriş eklenme tarihi: 16 Mart 2021

Keyboard

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9976: Hamburg, Almanya'daki JAIDE GmbH şirketinden Rias A. Sherzad

libxml2

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9981: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 12 Kasım 2020

libxpc

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9971: Tencent Security Xuanwu Lab'den Zhipeng Huo (@R3dF09)

Giriş eklenme tarihi: 15 Aralık 2020

Sandbox

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini görüntüleyebilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2020-9969: SecuRing'den Wojciech Reguła (wojciechregula.blog)

Giriş eklenme tarihi: 12 Kasım 2020

Sandbox

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlı bir uygulama, sınırlanmış dosyalara erişebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-9968: TrustedSec'ten Adam Chester (@_xpn_)

Giriş güncellenme tarihi: 17 Eylül 2020

SQLite

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Giriş eklenme tarihi: 12 Kasım 2020

SQLite

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: SQLite'ta birden fazla sorun

Açıklama: SQLite'ın, 3.32.3 sürümüne güncellenmesiyle birden fazla sorun giderildi.

CVE-2020-15358

Giriş eklenme tarihi: 12 Kasım 2020

SQLite

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu, veri bozulmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2020-13631

Giriş eklenme tarihi: 12 Kasım 2020

SQLite

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bilgilerin açığa çıkması sorunu giderildi.

CVE-2020-9849

Giriş eklenme tarihi: 12 Kasım 2020

SQLite

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2020-13630

Giriş eklenme tarihi: 12 Kasım 2020

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2020-9947: cc (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2020-9950: cc (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2020-9951: Cisco Talos'tan Marcin "Icewall" Noga

Giriş eklenme tarihi: 12 Kasım 2020

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2020-9983: zhunki

Giriş eklenme tarihi: 12 Kasım 2020

WebKit

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Wi-Fi

İlgili ürünler: Apple TV 4K ve Apple TV HD

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2020-10013: Didi Research America'dan Yu Wang

Giriş eklenme tarihi: 12 Kasım 2020

Ek teşekkür listesi

802.1X

Katar'daki Hamad bin Khalifa Üniversitesinden Kenana Dalle'ye ve Carnegie Mellon Üniversitesinden Ryan Riley'ye yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 15 Aralık 2020

Audio

Ant-Financial Light-Year Security Lab'den JunDong Xie ve Xingwei Lin'e yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 16 Mart 2021

Audio

Ant-Financial Light-Year Security Lab'den JunDong Xie ve Xingwei Lin'e yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 12 Kasım 2020

Bluetooth

NCC Group'tan Andy Davis'e ve Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Dennis Heinze'a (@ttdennis) yardımları için teşekkür ederiz.

Clang

Google Project Zero'dan Brandon Azad'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 12 Kasım 2020

Core Location

Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.

Crash Reporter

AFINE'den Artur Byszko'ya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 15 Aralık 2020

iAP

NCC Group'tan Andy Davis'e yardımı için teşekkür ederiz.

Kernel

Google Project Zero'dan Brandon Azad'a ve Google'dan Stephen Röttger'e yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 12 Kasım 2020

libxml2

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 16 Mart 2021

Konum Framework'ü

Nicolas Brunner'a (linkedin.com/in/nicolas-brunner-651bb4128) yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 19 Ekim 2020

Safari

Ryan Pickren'e (ryanpickren.com) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 12 Kasım 2020

WebKit

REDTEAM.PL'den Pawel Wylecial, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), OPPO ZIWU Security Lab'den Zhiyang Zeng (@Wester), Hamburg Üniversitesi Dağıtılmış Sistemler Grubu Güvenlik biriminden Maximilian Blochberger'e yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 12 Kasım 2020, giriş güncellenme tarihi: 25 Mayıs 2022

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: