Относно съдържанието за защита на tvOS 13.3

Този документ описва съдържанието за защита на tvOS 13.3.

Относно актуализациите на защитата на Apple

С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са посочени на страницата Актуализации на защитата на Apple.

Документите за защита на Apple посочват уязвимостите според CVE-ID, когато това е възможно.

За повече информация относно защитата вж. страницата Защита на продуктите на Apple.

tvOS 13.3

Дата на издаване: 10 декември 2019 г.

CFNetwork

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Даден хакер в привилегирована позиция на мрежата може да бъде в състояние да заобиколи HSTS за ограничен брой конкретни домейни от най-високо ниво, които по-рано не са били в списъка за предварително зареждане на HSTS

Описание: Проблем с конфигурацията беше разрешен с допълнителни ограничения.

CVE-2019-8834: Роб Сайър (@sayrer)

Записът е добавен на 4 април 2020 г.

Прокси сървъри на CFNetwork

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Дадено приложение би могло да получи повишени привилегии

Описание: Този проблем беше решен с подобрени проверки.

CVE-2019-8848: Джуо Лян от Qihoo 360 Vulcan Team

FaceTime

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Обработката на злонамерен видеоклип чрез FaceTime може да доведе до произволно изпълнение на код

Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.

CVE-2019-8830: Наталия от Google Project Zero

Ядро

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблемът с повредата в паметта беше решен чрез премахване на уязвимия код.

CVE-2019-8833: Иън Биър от Google Project Zero

Ядро

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.

CVE-2019-8828: Сим Стордал от Cognite

CVE-2019-8838: Д-р Силвио Цезаре от InfoSect

libexpat

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Анализирането на злонамерено създаден XML файл може да доведе до разкриване на потребителска информация

Описание: Този проблем беше решен чрез актуализиране до версия 2.2.8 на expat.

CVE-2019-15903: Джонун Джанг

libpcap

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Множество проблеми в libpcap

Описание: Множество проблеми бяха решени чрез актуализиране до версия 1.9.1 на libpcap

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Записът е добавен на 6 април 2020 г.

Защита

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Приложение може да изпълни произволен код със системни привилегии

Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.

CVE-2019-8832: Инсу Юн от SSLab at Georgia Tech

WebKit

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Посещението на злонамерено изработен уебсайт може да разкрие сайтове, които потребителят е посетил

Описание: Имаше проблем с разкриване на информация при обработването на API за достъп до място за съхранение. Този проблем беше разрешен с подобрена логика.

CVE-2019-8898: Майкъл Клебер от Google

Записът е добавен на 11 февруари 2020 г. и актуализиран на 20 февруари 2020 г.

WebKit

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Обработка на злонамерено изградено уеб съдържание може да доведе до изпълнение на произволен код

Описание: Няколко проблема с повреда на паметта бяха разрешени с подобрена обработка на памет.

CVE-2019-8835: Анонимен, работещ със Zero Day Initiative на Trend Micro, Майк Джан от екипа на Pangu

CVE-2019-8844: Уилям Боулинг (@wcbowling)

WebKit

Достъпен за: Apple TV 4K и Apple TV HD

Въздействие: Обработка на злонамерено изградено уеб съдържание може да доведе до изпълнение на произволен код

Описание: Злоупотребата поради проблема беше прекратена с подобрено управление на паметта.

CVE-2019-8846: Марчин Товалски от Cisco Talos

Допълнителни признания

Основни данни

Бихме искали да изразим благодарност към Наталия от Google Project Zero за съдействието.

Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.

Дата на публикуване: