Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 13.2
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 13.2.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
tvOS 13.2
Λογαριασμοί
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8787: Steffen Klee του Secure Mobile Networking Lab στο Technische Universität Darmstadt
App Store
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να συνδεθεί στον λογαριασμό ενός χρήστη που είχε συνδεθεί προηγουμένως χωρίς έγκυρα διαπιστευτήρια.
Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
Ήχος
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8785: Ian Beer του Google Project Zero
CVE-2019-8797: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure
AVEVideoEncoder
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8795: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure
Συμβάντα συστήματος αρχείων
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8798: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Πυρήνας
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2019-8794: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure
Πυρήνας
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8786: Wen Xu του Georgia Tech, Microsoft Offensive Security Research Intern
Πυρήνας
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2019-8829: Jann Horn του Google Project Zero
WebKit
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8813: ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8782: Cheolung Lee από την ομάδα LINE+ Security Team
CVE-2019-8783: Cheolung Lee από την ομάδα LINE+ Graylab Security Team
CVE-2019-8808: εντοπίστηκε από το OSS-Fuzz
CVE-2019-8811: Soyeon Park του SSLab στο Georgia Tech
CVE-2019-8812: JunDong Xie του Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee από την ομάδα LINE+ Security Team
CVE-2019-8816: Soyeon Park του SSLab στο Georgia Tech
CVE-2019-8819: Cheolung Lee από την ομάδα LINE+ Security Team
CVE-2019-8820: Samuel Groß του Google Project Zero
CVE-2019-8821: Sergei Glazunov του Google Project Zero
CVE-2019-8822: Sergei Glazunov του Google Project Zero
CVE-2019-8823: Sergei Glazunov του Google Project Zero
WebKit
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να αποκαλύψει τις τοποθεσίες που έχει επισκεφτεί ένας χρήστης
Περιγραφή: Η κεφαλίδα HTTP Referer μπορεί να χρησιμοποιηθεί για την αποκάλυψη του ιστορικού περιήγησης. Το πρόβλημα επιλύθηκε μέσω υποβάθμισης όλων των Referer τρίτων στην πηγή προέλευσής τους.
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum και Roberto Clapis της ομάδας Google Security Team
Μοντέλο διεργασίας WebKit
Διατίθεται για: Apple TV 4K και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8815: Apple
Επιπλέον αναγνώριση
CFNetwork
Θα θέλαμε να ευχαριστήσουμε τον Lily Chen της Google για τη βοήθειά του.
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τους Daniel Roethlisberger της Swisscom CSIRT και Jann Horn του Google Project Zero για τη βοήθειά τους.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους Dlive από το Xuanwu Lab της Tencent και Zhiyi Zhang από την ομάδα Codesafe της Legendsec στην Qi'anxin Group για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.