Om sikkerhedsindholdet i tvOS 12.4

I dette dokument beskrives sikkerhedsindholdet i tvOS 12.4.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 12.4

Bluetooth

Fås til: Apple TV 4K og Apple TV HD

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik (Key Negotiation of Bluetooth – KNOB)

Beskrivelse: Der var et problem med godkendelse af input i Bluetooth. Problemet er løst ved forbedret inputvalidering.

CVE-2019-9506: Daniele Antonioli fra SUTD, Singapore, Dr. Nils Ole Tippenhauer fra CISPA, Tyskland og professor Kasper Rasmussen fra University of Oxford, England

Ændringerne for dette problem begrænser CVE-2020-10135.

Kernedata

Fås til: Apple TV 4K og Apple TV HD

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8646: natashenka fra Google Project Zero

Kernedata

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2019-8647: Samuel Groß og natashenka fra Google Project Zero

Kernedata

Fås til: Apple TV 4K og Apple TV HD

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8660: Samuel Groß og natashenka fra Google Project Zero

Game Center

Fås til: Apple TV 4K og Apple TV HD

Effekt: En lokal bruger kan muligvis læse et vedvarende konto-id

Beskrivelse: Problemet er løst med en ny rettighed.

CVE-2019-8702: Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc.

Heimdal

Fås til: Apple TV 4K og Apple TV HD

Effekt: Der var et problem i Samba, som muligvis lod hackere udføre uautoriserede handlinger ved at opfange kommunikation mellem tjenester

Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.

CVE-2018-16860: Isaac Boukris og Andrew Bartlett fra Samba Team og Catalyst

Billedbehandling

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.

CVE-2019-8668: En anonym programmør

libxslt

Fås til: Apple TV 4K og Apple TV HD

Effekt: En hacker kan muligvis se følsomme oplysninger

Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.

CVE-2019-13118: fundet af OSS-Fuzz

Profiler

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et skadeligt program kan muligvis begrænse adgangen til websteder

Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.

CVE-2019-8698: Luke Deshotels, Jordan Beichler og William Enck fra North Carolina State University; Costin Carabaș og Răzvan Deaconescu fra University POLITEHNICA i Bukarest

Vis

Fås til: Apple TV 4K og Apple TV HD

Effekt: En hacker kan muligvis udløse use-after-free i et program, hvilket afslutter serialisering af en NSDictionary, der ikke er tillid til

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8662: natashenka og Samuel Groß fra Google Project Zero

Siri

Fås til: Apple TV 4K og Apple TV HD

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8646: natashenka fra Google Project Zero

UIFoundation

Fås til: Apple TV 4K og Apple TV HD

Effekt: Parsing af et skadeligt Office-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8657: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Der var et logikproblem i håndteringen af dokumentindlæsninger. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2019-8690: Sergei Glazunov fra Google Project Zero

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Der var et logikproblem i håndteringen af samtidige sideindlæsninger. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2019-8649: Sergei Glazunov fra Google Project Zero

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8658: akayn, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8644: G. Geshev, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8666: Zongming Wang (王宗明) og Zhe Jin (金哲) fra Chengdu Security Response Center hos Qihoo 360 Technology Co. Ltd.

CVE-2019-8669: akayn, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß fra Google Project Zero

CVE-2019-8673: Soyeon Park og Wen Xu fra SSLab på Georgia Tech

CVE-2019-8676: Soyeon Park og Wen Xu fra SSLab på Georgia Tech

CVE-2019-8677: Jihui Lu fra Tencent KeenLab

CVE-2019-8678: Anthony Lai (@darkfloyd1014) fra Knownsec, Ken Wong (@wwkenwong) fra VXRL, Jeonghoon Shin (@singi21a) fra Theori, Johnny Yu (@straight_blast) fra VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) fra VX Browser Exploitation Group, Phil Mok (@shadyhamsters) fra VX Browser Exploitation Group, Alan Ho (@alan_h0) fra Knownsec, Byron Wai fra VX Browser Exploitation, P1umer fra ADLab fra Venustech

CVE-2019-8679: Jihui Lu fra Tencent KeenLab

CVE-2019-8680: Jihui Lu fra Tencent KeenLab

CVE-2019-8681: G. Geshev, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8683: lokihardt fra Google Project Zero

CVE-2019-8684: lokihardt fra Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao, der arbejder med ADLab fra Venustech, Ken Wong (@wwkenwong) fra VXRL, Anthony Lai (@darkfloyd1014) fra VXRL og Eric Lung (@Khlung1) fra VXRL

CVE-2019-8686: G. Geshev, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun fra SSLab på Georgia Tech

CVE-2019-8689: lokihardt fra Google Project Zero

Yderligere anerkendelser

Game Center

Vi vil gerne takke Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc. for hjælpen.

MobileInstallation

Vi vil gerne takke Dany Lisiansky (@DanyL931) for hjælpen.