Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 12.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 12.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

tvOS 12.3

AppleFileConduit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

Bluetooth

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Λόγω μιας κακής διαμόρφωσης στα πρωτόκολλα ζευγοποίησης Bluetooth μιας έκδοσης Bluetooth Low Energy (BLE) των κλειδιών ασφαλείας FIDO, ένας εισβολέας που βρίσκεται σε κοντινή απόσταση μπορεί να υποκλέψει την κίνηση δεδομένων μέσω Bluetooth κατά τη διάρκεια της ζευγοποίησης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την απενεργοποίηση αξεσουάρ με μη ασφαλείς συνδέσεις Bluetooth. Οι πελάτες που χρησιμοποιούν την έκδοση Bluetooth Low Energy (BLE) του κλειδιού ασφαλείας Titan από την Google θα πρέπει να διαβάσουν τις ανακοινώσεις του Android του Ιουνίου και τις συμβουλευτικές ανακοινώσεις της Google και να λάβουν τα κατάλληλα μέτρα.

CVE-2019-2102: Matt Beaver και Erik Peterson της Microsoft Corp.

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό σφάλματος.

CVE-2019-8592: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ταινίας μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2019-8585: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreText

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2019-8582: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Είδωλα δίσκων

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8560: Nikita Pupyshev του Bauman Moscow State Technological University

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8633: Zhuo Liang της ομάδας Qihoo 360 Vulcan

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2019-8576: Brandon Azad του Google Project Zero, Junho Jang και Hanul Choi της ομάδας LINE Security Team

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή σε μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8591: Ned Williamson σε συνεργασία με το Google Project Zero

Μηνύματα

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Χρήστες που έχουν αφαιρεθεί από μια συζήτηση iMessage ενδέχεται να εξακολουθούν να έχουν τη δυνατότητα αλλαγής κατάστασης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8631: Jamie Bishop της Dynastic

MobileInstallation

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

SQLite

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8577: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8600: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8598: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2019-8602: Omer Gull της Checkpoint Research

sysdiagnose

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) της Seekintoo (@seekintoo)

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2019-8607: Junho Jang και Hanul Choi της LINE Security Team

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-6237: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Liu Long της Qihoo 360 Vulcan Team

CVE-2019-8571: 01 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8583: sakura του Tencent Xuanwu Lab, jessica (@babyjess1ca_) του Tencent Keen Lab και dwfault σε συνεργασία με το ADLab της Venustech

CVE-2019-8584: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8586: ανώνυμος ερευνητής

CVE-2019-8587: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8594: Suyoung Lee και Sooel Son του KAIST Web Security & Privacy Lab και HyungSeok Han και Sang Kil Cha του KAIST SoftSec Lab

CVE-2019-8595: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8596: Wen Xu του SSLab στο Georgia Tech

CVE-2019-8597: 01 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8601: Fluoroacetate σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8608: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8609: Wen Xu του SSLab, Georgia Tech

CVE-2019-8610: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8611: Samuel Groß του Google Project Zero

CVE-2019-8615: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8619: Wen Xu του SSLab στο Georgia Tech και Hanqing Zhao του Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß του Google Project Zero

CVE-2019-8623: Samuel Groß του Google Project Zero

CVE-2019-8628: Wen Xu του SSLab στο Georgia Tech και Hanqing Zhao του Chaitin Security Research Lab

Wi-Fi

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να τροποποιήσει την κατάσταση του προγράμματος οδήγησης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8612: Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Wi-Fi

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC του Wi-Fi

Περιγραφή: Ένα πρόβλημα απορρήτου χρήστη αντιμετωπίστηκε με αφαίρεση της διεύθυνσης MAC μετάδοσης.

CVE-2019-8620: David Kreitschmann και Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Επιπλέον αναγνώριση

CoreAudio

Θα θέλαμε να ευχαριστήσουμε τον χρήστη riusksk της VulWar Corp, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της Trend Micro, για τη βοήθειά του.

CoreFoundation

Θα θέλαμε να ευχαριστήσουμε τους Vozzie και Rami και τους m4bln, Xiangqian Zhang, Huiming Liu του Tencent's Xuanwu Lab για τη βοήθειά τους.

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

MediaLibrary

Θα θέλαμε να ευχαριστήσουμε τους Angel Ramirez και Min (Spark) Zheng, και Xiaolong Bai της Alibaba Inc. για τη βοήθειά τους.

MobileInstallation

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.