Om sikkerhedsindholdet i tvOS 13.3

I dette dokument beskrives sikkerhedsindholdet i tvOS 13.3.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De seneste udgivelser er angivet på siden Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser til sikkerhedsrisici med et CVE-id, når det er muligt.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 13.3

CFNetwork

Fås til: Apple TV 4K og Apple TV HD

Effekt: En hacker i en privilegeret netværksposition kan være i stand til at tilsidesætte HSTS for et begrænset antal specifikke domæner på topniveau, der ikke tidligere var på den forudindlæste HSTS-liste

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork Proxies

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8848: Zhuo Liang fra Qihoo 360 Vulcan Team

FaceTime

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af en skadelig video via FaceTime kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8830: natashenka fra Google Project Zero

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.

CVE-2019-8833: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8828: Cim Stordal fra Cognite

CVE-2019-8838: Dr. Silvio Cesare fra InfoSect

libexpat

Fås til: Apple TV 4K og Apple TV HD

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Dette problem er løst ved at opdatere til expat version 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Fås til: Apple TV 4K og Apple TV HD

Effekt: Flere problemer i libpcap

Beskrivelse: Flere problemer blev løst ved at opdatere til libpcap version 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Security

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8832: Insu Yun fra SSLab på Georgia Tech

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Et besøg på et skadeligt websted kan afsløre websteder, en bruger har besøgt

Beskrivelse: Der var problemer med afsløring af oplysninger i håndteringen af Storage Access API. Problemet er løst med forbedret logik.

CVE-2019-8898: Michael Kleber fra Google

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8835: anonym, der arbejder med Trend Micros Zero Day Initiative, Mike Zhang fra Pangu Team

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Fås til: Apple TV 4K og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.

CVE-2019-8846: Marcin Towalski fra Cisco Talos

Yderligere anerkendelser

Core Data

Vi vil gerne takke natashenka fra Google Project Zero for hjælpen.