Относно съдържанието за защита на tvOS 13.3
Този документ описва съдържанието за защита на tvOS 13.3.
Относно актуализациите на защитата на Apple
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са посочени на страницата Актуализации на защитата на Apple.
Документите за защита на Apple посочват уязвимостите според CVE-ID, когато това е възможно.
За повече информация относно защитата вижте страницата Защита на продуктите на Apple.
tvOS 13.3
Дата на издаване: 10 декември 2019 г.
CFNetwork
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Даден хакер в привилегирована позиция на мрежата може да бъде в състояние да заобиколи HSTS за ограничен брой конкретни домейни от най-високо ниво, които по-рано не са били в списъка за предварително зареждане на HSTS
Описание: Проблем с конфигурацията беше разрешен с допълнителни ограничения.
CVE-2019-8834: Роб Сайър (@sayrer)
Записът е добавен на 4 април 2020 г.
CFNetwork Proxies
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Дадено приложение би могло да получи повишени привилегии
Описание: Този проблем беше решен с подобрени проверки.
CVE-2019-8848: Джуо Лян от Qihoo 360 Vulcan Team
FaceTime
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Обработката на злонамерен видеоклип чрез FaceTime може да доведе до произволно изпълнение на код
Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.
CVE-2019-8830: natashenka от Google Project Zero
Kernel
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото
Описание: Проблемът с повредата в паметта беше решен чрез премахване на уязвимия код.
CVE-2019-8833: Иън Биър от Google Project Zero
Kernel
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото
Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.
CVE-2019-8828: Сим Стордал от Cognite
CVE-2019-8838: Д-р Силвио Цезаре от InfoSect
libexpat
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Анализирането на злонамерено създаден XML файл може да доведе до разкриване на потребителска информация
Описание: Този проблем беше решен чрез актуализиране до версия 2.2.8 на expat.
CVE-2019-15903: Джонун Джанг
libpcap
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Множество проблеми в libpcap
Описание: Множество проблеми бяха решени чрез актуализиране до версия 1.9.1 на libpcap
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Записът е добавен на 6 април 2020 г.
Security
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Приложение може да изпълни произволен код със системни привилегии
Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.
CVE-2019-8832: Инсу Юн от SSLab в Georgia Tech
WebKit
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Посещението на злонамерено изработен уебсайт може да разкрие сайтове, които потребителят е посетил
Описание: Имаше проблем с разкриване на информация при обработването на API за достъп до място за съхранение. Този проблем беше разрешен с подобрена логика.
CVE-2019-8898: Майкъл Клебер от Google
Записът е добавен на 11 февруари 2020 г. и актуализиран на 20 февруари 2020 г.
WebKit
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Обработка на злонамерено изградено уеб съдържание може да доведе до изпълнение на произволен код
Описание: Няколко проблема с повреда на паметта бяха разрешени с подобрена обработка на памет.
CVE-2019-8835: Анонимен, работещ със Zero Day Initiative на Trend Micro, Майк Джан от екипа на Pangu
CVE-2019-8844: Уилям Боулинг (@wcbowling)
WebKit
Достъпен за: Apple TV 4K и Apple TV HD
Въздействие: Обработка на злонамерено изградено уеб съдържание може да доведе до изпълнение на произволен код
Описание: Злоупотребата поради проблема беше прекратена с подобрено управление на паметта.
CVE-2019-8846: Марчин Товалски от Cisco Talos
Допълнителни признания
Core Data
Бихме искали да изразим благодарност към natashenka от Google Project Zero за проявеното съдействие.
Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.