Über den Sicherheitsinhalt von tvOS 13.3.1
Dieses Dokument beschreibt den Sicherheitsinhalt von tvOS 13.3.1.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.
Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit .
tvOS 13.3.1
Veröffentlicht am 28. Januar 2020
Audio
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3857: Zhuo Liang vom Qihoo 360 Vulcan-Team
Dateien
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine bösartige Anwendung kann möglicherweise beliebige Dateien überschreiben
Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Eintrag hinzugefügt am 19. Januar 2022
ImageIO
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2020-3826: Samuel Groß von Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß von Google Project Zero
CVE-2020-3880: Samuel Groß von Google Project Zero
Eintrag aktualisiert am 4. April 2020
IOAcceleratorFamilie
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3837: Brandon Azad von Google Project Zero
IOUSBDeviceFamily
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8836: Xiaolong Bai und Min (Spark) Zheng von Alibaba Inc. und Luyi Xing von der Indiana University Bloomington
Eintrag hinzugefügt am 22. Juni 2020
IPSec
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Das Laden einer in böser Absicht erstellten Racoon-Konfigurationsdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Racoon-Konfigurationsdateien bestand ein Off-by-one-Problem. Dieses Problem wurde durch eine verbesserte Begrenzungsprüfung behoben.
CVE-2020-3840: @littlelailo
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2020-3875: Brandon Azad von Google Project Zero
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3872: Haakon Garseg Mørk von Cognite und Cim Stordal von Cognite
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine bösartige Anwendung kann möglicherweise das Kernel-Speicherlayout bestimmen
Beschreibung: Ein Zugriffsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3836: Brandon Azad von Google Project Zero
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3842: Ned Williamson arbeitet mit Google Project Zero
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Typverwirrungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3853: Brandon Azad von Google Project Zero
libxml2
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2020-3846: Ranier Vilela
Eintrag hinzugefügt am 29. Januar 2020
libxpc
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Zeichenfolge kann zu Heap-Beschädigung führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2020-3856: Ian Beer von Google Project Zero
libxpc
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Berechtigungen erhalten
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2020-3829: Ian Beer von Google Project Zero
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3825: Przemysław Sporysz von Euvic
CVE-2020-3868: Marcin Towalski von Cisco Talos
Eintrag aktualisiert am 29. Januar 2020
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine schädliche Website kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3862: Srikanth Gatta von Google Chrome
Eintrag hinzugefügt am 29. Januar 2020
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2020-3867: ein anonymer Forscher
Eintrag hinzugefügt am 29. Januar 2020
Laden der WebKit-Seite
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein DOM-Objektkontext der obersten Ebene wurde möglicherweise fälschlicherweise als sicher angesehen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Eintrag hinzugefügt am 29. Januar 2020, aktualisiert am 11. Februar 2020
Laden der WebKit-Seite
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Ein DOM-Objektkontext hatte möglicherweise keinen eindeutigen Sicherheitsursprung
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Eintrag hinzugefügt am 11. Februar 2020
WLANGeschwindigkeitd
Verfügbar für: Apple TV 4K und Apple TV HD
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Das Problem wurde durch eine verbesserte Berechtigungslogik behoben.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Zusätzliche Anerkennung
IOSurface
Wir möchten Liang Chen (@chenliang0817) für ihre Unterstützung danken.
Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich für weitere Informationen an den Anbieter .
No comments:
Post a Comment