Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
tvOS 12.4
Udgivet 22. juli 2019
Bluetooth
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik (Key Negotiation of Bluetooth – KNOB)
Beskrivelse: Der var et problem med godkendelse af input i Bluetooth. Problemet er løst ved forbedret inputvalidering.
CVE-2019-9506: Daniele Antonioli fra SUTD, Singapore, Dr. Nils Ole Tippenhauer fra CISPA, Tyskland og professor Kasper Rasmussen fra University of Oxford, England
Ændringerne for dette problem begrænser CVE-2020-10135.
Post tilføjet 13. august 2019 og opdateret 25. juni 2020
Kernedata
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan lække hukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2019-8646: Natalie Silvanovich fra Google Project Zero
Kernedata
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2019-8647: Samuel Groß og Natalie Silvanovich fra Google Project Zero
Kernedata
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2019-8660: Samuel Groß og Natalie Silvanovich fra Google Project Zero
Game Center
Fås til: Apple TV 4K og Apple TV HD
Effekt: En lokal bruger kan muligvis læse et vedvarende konto-id
Beskrivelse: Problemet blev løst med en ny rettighed.
CVE-2019-8702: Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc.
Post tilføjet 24. februar 2020
Heimdal
Fås til: Apple TV 4K og Apple TV HD
Effekt: Der var et problem i Samba, som muligvis lod hackere udføre uautoriserede handlinger ved at opfange kommunikation mellem tjenester
Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.
CVE-2018-16860: Isaac Boukris og Andrew Bartlett fra Samba Team og Catalyst
Billedbehandling
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.
CVE-2019-8668: En anonym programmør
Post tilføjet 8. oktober 2019
libxslt
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker kan muligvis se følsomme oplysninger
Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.
CVE-2019-13118: fundet af OSS-Fuzz
Profiler
Fås til: Apple TV 4K og Apple TV HD
Effekt: Et skadeligt program kan muligvis begrænse adgangen til websteder
Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.
CVE-2019-8698: Luke Deshotels, Jordan Beichler og William Enck fra North Carolina State University; Costin Carabaș og Răzvan Deaconescu fra University POLITEHNICA i Bukarest
Vis
Fås til: Apple TV 4K og Apple TV HD
Effekt: En hacker kan muligvis udløse use-after-free i et program, hvilket afslutter serialisering af en NSDictionary, der ikke er tillid til
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2019-8662: Natalie Silvanovich og Samuel Groß fra Google Project Zero
Siri
Fås til: Apple TV 4K og Apple TV HD
Effekt: En ekstern hacker kan lække hukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2019-8646: Natalie Silvanovich fra Google Project Zero
UIFoundation
Fås til: Apple TV 4K og Apple TV HD
Effekt: Parsing af et skadeligt Office-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2019-8657: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var et logikproblem i håndteringen af dokumentindlæsninger. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2019-8690: Sergei Glazunov fra Google Project Zero
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var et logikproblem i håndteringen af samtidige sideindlæsninger. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2019-8649: Sergei Glazunov fra Google Project Zero
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2019-8658: akayn, der arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: Apple TV 4K og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8644: G. Geshev, der arbejder med Trend Micros Zero Day Initiative
CVE-2019-8666: Zongming Wang (王宗明) og Zhe Jin (金哲) fra Chengdu Security Response Center hos Qihoo 360 Technology Co. Ltd.
CVE-2019-8669: akayn, der arbejder med Trend Micros Zero Day Initiative
CVE-2019-8671: Apple
CVE-2019-8672: Samuel Groß fra Google Project Zero
CVE-2019-8673: Soyeon Park og Wen Xu fra SSLab på Georgia Tech
CVE-2019-8676: Soyeon Park og Wen Xu fra SSLab på Georgia Tech
CVE-2019-8677: Jihui Lu fra Tencent KeenLab
CVE-2019-8678: Anthony Lai (@darkfloyd1014) fra Knownsec, Ken Wong (@wwkenwong) fra VXRL, Jeonghoon Shin (@singi21a) fra Theori, Johnny Yu (@straight_blast) fra VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) fra VX Browser Exploitation Group, Phil Mok (@shadyhamsters) fra VX Browser Exploitation Group, Alan Ho (@alan_h0) fra Knownsec, Byron Wai fra VX Browser Exploitation, P1umer fra ADLab fra Venustech
CVE-2019-8679: Jihui Lu fra Tencent KeenLab
CVE-2019-8680: Jihui Lu fra Tencent KeenLab
CVE-2019-8681: G. Geshev, der arbejder med Trend Micros Zero Day Initiative
CVE-2019-8683: lokihardt fra Google Project Zero
CVE-2019-8684: lokihardt fra Google Project Zero
CVE-2019-8685: akayn, Dongzhuo Zhao, der arbejder med ADLab fra Venustech, Ken Wong (@wwkenwong) fra VXRL, Anthony Lai (@darkfloyd1014) fra VXRL og Eric Lung (@Khlung1) fra VXRL
CVE-2019-8686: G. Geshev, der arbejder med Trend Micros Zero Day Initiative
CVE-2019-8687: Apple
CVE-2019-8688: Insu Yun fra SSLab på Georgia Tech
CVE-2019-8689: lokihardt fra Google Project Zero
Post opdateret 11. september 2019
Yderligere anerkendelser
Game Center
Vi vil gerne takke Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc. for hjælpen.
MobileInstallation
Vi vil gerne takke Dany Lisiansky (@DanyL931) for hjælpen.