Über den Sicherheitsinhalt von tvOS 13.4

Dieses Dokument beschreibt den Sicherheitsinhalt von tvOS 13.4.

Über Apple-Sicherheitsupdates

Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.

Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit .

Dieses Dokument beschreibt den Sicherheitsinhalt von tvOS 13.4

Veröffentlicht am 24. März 2020

Konten

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein Sandbox-Prozess kann möglicherweise Sandbox-Einschränkungen umgehen

Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.

CVE-2020-9772: Allison Husain von der UC Berkeley

Eintrag hinzugefügt am 21. Mai 2020

ActionKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine Anwendung kann möglicherweise einen SSH-Client verwenden, der von privaten Frameworks bereitgestellt wird

Beschreibung: Dieses Problem wurde mit einer neuen Berechtigung behoben.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine Anwendung kann möglicherweise beliebige Berechtigungen verwenden

Beschreibung: Dieses Problem wurde durch verbesserte Überprüfungen behoben.

CVE-2020-3883: Linus Henze (pinauten.de)

Bildverarbeitung

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamilie

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine bösartige Anwendung kann beliebigen Code mit Kernel-Privilegien ausführen

Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3919: Alex Plaskett von F-Secure Consulting

Eintrag aktualisiert am 21. Mai 2020

Kernel

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen

Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3914: Muster-f (@pattern_F_) von WaCai

Kernel

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine bösartige Anwendung kann beliebigen Code mit Kernel-Privilegien ausführen

Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Zustandsverwaltung behoben.

CVE-2020-9785: Proteas des Qihoo 360 Nirvan Teams

libxml2

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Mehrere Probleme in libxml2

Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Begrenzungsprüfung behoben.

CVE-2020-3909: LGTM.com

CVE-2020-3911: gefunden von OSS-Fuzz

libxml2

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Mehrere Probleme in libxml2

Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2020-3910: LGTM.com

Sandkasten

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein lokaler Benutzer kann möglicherweise vertrauliche Benutzerinformationen anzeigen

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2020-3918: Augusto Alvarez von Outcourse Limited

Eintrag hinzugefügt am 1. Mai 2020

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Einige Websites wurden möglicherweise nicht in den Safari-Einstellungen angezeigt

Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Eintrag hinzugefügt am 1. Mai 2020

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3895: Grigoritchi

CVE-2020-3900: Dongzhuo Zhao arbeitet mit ADLab von Venustech

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen

Beschreibung: Eine Racebedingung wurde mit zusätzlicher Validierung behoben.

CVE-2020-3894: Sergei Glazunov von Google Project Zero

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein entfernter Angreifer kann möglicherweise die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Speicherverbrauchsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3899: gefunden von OSS-Fuzz

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Ein Problem mit der Eingabevalidierung wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Typverwirrungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Der Ursprung eines Downloads wird möglicherweise falsch zugeordnet

Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Codeausführung führen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-9783: Apple

WebKit

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Ein entfernter Angreifer kann möglicherweise die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Typverwirrungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3897: Brendan Draper (@6r3nd4n) arbeitet mit der Zero Day Initiative von Trend Micro zusammen

Laden der WebKit-Seite

Verfügbar für: Apple TV 4K und Apple TV HD

Auswirkung: Eine Datei-URL wird möglicherweise falsch verarbeitet

Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

Zusätzliche Anerkennung

FontParser

Wir möchten Matthew Denton von Google Chrome für seine Unterstützung danken.

Kernel

Wir möchten Siguza für ihre Unterstützung danken.

LinkPräsentation

Wir möchten Travis für seine Unterstützung danken.

WebKit

Wir danken Emilio Cobos Álvarez von Mozilla, Samuel Groß von Google Project Zero und den Hörern für ihre Unterstützung.

Eintrag aktualisiert am 4. April 2020

Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich für weitere Informationen an den Anbieter .