Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
tvOS 13
Vydáno 24. září 2019
CoreAudio
K dispozici pro: Apple TV 4K a Apple TV HD
Dopad: Zpracování škodlivého filmu může vést k odhalení procesní paměti.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2019-8705: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam přidán 8. října 2019
Jádro
K dispozici pro: Apple TV 4K a Apple TV HD
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8717: Jann Horn z týmu Google Project Zero
Záznam přidán 8. října 2019
Jádro
K dispozici pro: Apple TV 4K a Apple TV HD
Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.
Popis: Problém byl vyřešen vylepšením logiky oprávnění.
CVE-2019-8780: Siguza
Záznam přidán 8. října 2019
Klávesnice
K dispozici pro: Apple TV 4K a Apple TV HD
Dopad: Místnímu uživateli se může podařit odhalit citlivá uživatelská data.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) ze společnosti SAINTSEC
libxml2
K dispozici pro: Apple TV 4K a Apple TV HD
Dopad: Několik problémů v knihovně libxml2.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2019-8749: nalezeno programem OSS-Fuzz
CVE-2019-8756: nalezeno programem OSS-Fuzz
Záznam přidán 8. října 2019
UIFoundation
K dispozici pro: Apple TV 4K a Apple TV HD
Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2019-8745: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam přidán 8. října 2019
WebKit
K dispozici pro: Apple TV 4K a Apple TV HD
Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2019-8625: Sergei Glazunov z týmu Google Project Zero
CVE-2019-8719: Sergei Glazunov z týmu Google Project Zero
Záznam přidán 8. října 2019
WebKit
K dispozici pro: Apple TV 4K a Apple TV HD
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2019-8707: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro, cc ve spolupráci se Zero Day Initiative společnosti Trend Micro
CVE-2019-8720: Wen Xu z týmu SSLab na univerzitě Georgia Tech
CVE-2019-8726: Jihui Lu z týmu Tencent KeenLab
CVE-2019-8733: Sergei Glazunov z týmu Google Project Zero
CVE-2019-8735: G. Geshev ve spolupráci se Zero Day Initiative společnosti Trend Micro
CVE-2019-8763: Sergei Glazunov z týmu Google Project Zero
Záznam přidán 8. října 2019
Další poděkování
boringssl
Poděkování za pomoc zaslouží Alkemade (@xnyhps) ze společnosti Computest.
Záznam přidán 8. října 2019
Klávesy
Poděkování za pomoc zaslouží anonymní výzkumník.
Profily
Poděkování za pomoc zaslouží James Seeley (@Code4iOS) ze společnosti Shriver Job Corps.
WebKit
Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao z týmu DBAPPSecurity Zion Lab a anonymní výzkumník.
Záznam přidán 8. října 2019