Teave tvOS 13.3 turbesisu kohta

Selles dokumendis kirjeldatakse operatsioonisüsteemi tvOS 13.3 turbesisu.

Teave Apple’i turbevärskenduste kohta

Selleks et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded saadaval. Hiljutised väljaanded on loetletud lehel Apple’i turbevärskendused.

Apple’i turbedokumentides viidatakse võimalusel CVE-ID kohastele haavatavustele.

Lisateavet turbe kohta leiate lehelt Apple’i toodete turvalisus.

tvOS 13.3

CFNetwork

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: privilegeeritud võrguasendis asuv ründaja võib piiratud arvu konkreetsete tippdomeenide puhul, mida varem HSTS-i eellaadimise loendis ei olnud, olla võimeline HSTS-ist mööda minema

Kirjeldus: konfiguratsiooniprobleem lahendati täiendavate piirangutega.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork Proxies

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: rakendus võib saada kõrgema taseme õigused

Kirjeldus: probleem lahendati kontrollide parandamisega.

CVE-2019-8848: Zhuo Liang, Qihoo 360 Vulcan Team

FaceTime

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: pahatahtliku video töötlemine FaceTime’i kaudu võib viia suvalise koodi käitamiseni

Kirjeldus: lubamatu lugemise probleem lahendati sisendandmete valideerimise täiustamise kaudu.

CVE-2019-8830: Natalie Silvanovich, Google Project Zero

Kernel

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Toime: võimalik, et rakendus suudab käivitada suvalise koodi tuumrežiimi õigustega

Kirjeldus: mälu rikkumise probleem lahendati haavatava koodi eemaldamisega.

CVE-2019-8833: Ian Beer, Google Project Zero

Kernel

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Toime: võimalik, et rakendus suudab käivitada suvalise koodi tuumrežiimi õigustega

Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.

CVE-2019-8828: Cim Stordal, Cognite

CVE-2019-8838: Dr Silvio Cesare, InfoSect

libexpat

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: pahatahtlikult koostatud XML-faili parsimine võib viia kasutajateabe avalikustamiseni

Kirjeldus: probleem lahendati, ajakohastades versioonile 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: mitmesugused probleemid teegis libpcap

Kirjeldus: mitmesugused probleemid lahendati, ajakohastades libpcapi versioonile 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Security

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: rakendus võib saada käivitada juhuslikku koodi süsteemiõigustega

Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.

CVE-2019-8832: Insu Yun, SSLab, Georgia Tech

WebKit

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: pahatahtliku veebisaidi külastamisel võivad avalikuks tulla kasutaja varem külastatud saidid

Kirjeldus: Storage Access API käsitlemisel esines teabe avalikustamise probleem. Kirjeldus: see probleem lahendati loogika parandamisega.

CVE-2019-8898: Michael Kleber, Google

WebKit

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: pahatahtliku loodud veebisisu töötlemine võib viia juhusliku koodi käitamiseni

Kirjeldus: mitu mälu kahjustumise probleemi lahendati mälu parema käitlemisega.

CVE-2019-8835: Trend Micro Zero Day algatusega koostööd tegev anonüümne panustaja, Mike Zhang, Pangu meeskond

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Saadaval toodetele: Apple TV 4K ja Apple TV HD

Mõju: pahatahtliku loodud veebisisu töötlemine võib viia juhusliku koodi käitamiseni

Kirjeldus: kasutamine pärast tasuta väljaannet lahendati mälukäsitluse parandamisega.

CVE-2019-8846: Marcin Towalski, Cisco Talos

Täiendavad tänusõnad

Core Data

Täname abi eest Natalie Silvanovichi (Google Project Zero).