Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 13

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 13.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

tvOS 13

Κυκλοφόρησε στις 24 Σεπτεμβρίου 2019

AppleFirmwareUpdateKext

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Ήχος

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8706: Yu Zhou του Ant-financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

CFNetwork

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2019-8753: Łukasz Pilorz της Standard Chartered GBS Poland

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8592: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 6 Νοεμβρίου 2019

CoreCrypto

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας εισαγωγής μεγάλου μεγέθους μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση της εισαγωγής.

CVE-2019-8741: Nicky Mouha της NIST

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

CoreAudio

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης ταινίας μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8705: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Υποδομή

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8746: Natalie Silvanovich και Samuel Groß του Google Project Zero

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

IOUSBDeviceFamily

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8718: Joshua Hill και Sem Voigtländer

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια τοπική εφαρμογή μπορεί να έχει δυνατότητα ανάγνωσης ενός μόνιμου αναγνωριστικού λογαριασμού

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2019-8809: Apple

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8712: Mohamed Ghannam (@_simo36)

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2019-8744: Zhuo Liang της ομάδας Qihoo 360 Vulcan

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8717: Jann Horn του Google Project Zero

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2019-8780: Siguza

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Πληκτρολόγια

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) του SAINTSEC

libxml2

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2019-8749: εντοπίστηκε από OSS-Fuzz

CVE-2019-8756: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

libxslt

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxslt

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2019-8750: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

mDNSResponder

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας που βρίσκεται σε κοντινή απόσταση ενδέχεται να έχει τη δυνατότητα να παρατηρεί παθητικά ονόματα συσκευών σε επικοινωνίες AWDL

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε μέσω αντικατάστασης των ονομάτων συσκευών με ένα τυχαίο αναγνωριστικό.

CVE-2019-8799: David Kreitschmann και Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

UIFoundation

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2019-8745: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

UIFoundation

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8831: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2019

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8625: Sergei Glazunov του Google Project Zero

CVE-2019-8719: Sergei Glazunov του Google Project Zero

CVE-2019-8764: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019 και ενημερώθηκε στις 29 Οκτωβρίου 2019

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8707: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8710: εντοπίστηκε από OSS-Fuzz

CVE-2019-8726: Jihui Lu του Tencent KeenLab

CVE-2019-8728: Junho Jang της LINE Security Team και Hanul Choi της ABLY Corporation

CVE-2019-8733: Sergei Glazunov του Google Project Zero

CVE-2019-8734: εντοπίστηκε από OSS-Fuzz

CVE-2019-8735: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8743: zhunki από την ομάδα Codesafe της Legendsec στην Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech

CVE-2019-8752: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech

CVE-2019-8763: Sergei Glazunov του Google Project Zero

CVE-2019-8765: Samuel Groß του Google Project Zero

CVE-2019-8766: εντοπίστηκε από OSS-Fuzz

CVE-2019-8773: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019 και ενημερώθηκε στις 29 Οκτωβρίου 2019

WebKit

Διατίθεται για: Apple TV 4K και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2019-8762: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2019

Επιπλέον αναγνώριση

Ήχος

Θα θέλαμε να ευχαριστήσουμε τον χρήστη riusksk της VulWar Corp, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της Trend Micro, για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

HomeKit

Θα θέλαμε να ευχαριστήσουμε τον Tian Zhang για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

boringssl

Θα θέλαμε να ευχαριστήσουμε τους Nimrod Aviram του Tel Aviv University, Robert Merget του Ruhr University Bochum, Juraj Somorovsky του Ruhr University Bochum και Thijs Alkemade (@xnyhps) της Computest για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019 και ενημερώθηκε στις 29 Οκτωβρίου 2019

Πληκτρολόγιο

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

mDNSResponder

Θα θέλαμε να ευχαριστήσουμε τον Gregor Lang της e.solutions GmbH για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019

Προφίλ

Θα θέλαμε να ευχαριστήσουμε τους Erik Johnson του Vernon Hills High School, James Seeley (@Code4iOS) της Shriver Job Corps, James Seeley (@Code4iOS) της Shriver Job Corps για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 29 Οκτωβρίου 2019

WebKit

Θα θέλαμε να ευχαριστήσουμε τους MinJeong Kim του Information Security Lab, Chungnam National University, JaeCheol Ryou του Information Security Lab, Chungnam National University στη Νότια Κορέα, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao του DBAPPSecurity Zion Lab, έναν ανώνυμο ερευνητή, cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019 και ενημερώθηκε στις 29 Οκτωβρίου 2019

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: