Teave tvOS 13.3 turbesisu kohta
Selles dokumendis kirjeldatakse operatsioonisüsteemi tvOS 13.3 turbesisu.
Teave Apple’i turbevärskenduste kohta
Selleks et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded saadaval. Hiljutised väljaanded on loetletud lehel Apple’i turbevärskendused.
Apple’i turbedokumentides viidatakse võimalusel CVE-ID kohastele haavatavustele.
Lisateavet turbe kohta leiate lehelt Apple’i toodete turvalisus.
tvOS 13.3
Välja antud 10. detsembril 2019
CFNetwork
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: privilegeeritud võrguasendis asuv ründaja võib piiratud arvu konkreetsete tippdomeenide puhul, mida varem HSTS-i eellaadimise loendis ei olnud, olla võimeline HSTS-ist mööda minema
Kirjeldus: konfiguratsiooniprobleem lahendati täiendavate piirangutega.
CVE-2019-8834: Rob Sayre (@sayrer)
Kirje lisati 4. aprillil 2020
CFNetwork Proxies
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: rakendus võib saada kõrgema taseme õigused
Kirjeldus: probleem lahendati kontrollide parandamisega.
CVE-2019-8848: Zhuo Liang, Qihoo 360 Vulcan Team
FaceTime
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: pahatahtliku video töötlemine FaceTime’i kaudu võib viia suvalise koodi käitamiseni
Kirjeldus: lubamatu lugemise probleem lahendati sisendandmete valideerimise täiustamise kaudu.
CVE-2019-8830: Natalie Silvanovich, Google Project Zero
Kernel
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus suudab käivitada suvalise koodi tuumrežiimi õigustega
Kirjeldus: mälu rikkumise probleem lahendati haavatava koodi eemaldamisega.
CVE-2019-8833: Ian Beer, Google Project Zero
Kernel
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus suudab käivitada suvalise koodi tuumrežiimi õigustega
Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.
CVE-2019-8828: Cim Stordal, Cognite
CVE-2019-8838: Dr Silvio Cesare, InfoSect
libexpat
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: pahatahtlikult koostatud XML-faili parsimine võib viia kasutajateabe avalikustamiseni
Kirjeldus: probleem lahendati, ajakohastades versioonile 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: mitmesugused probleemid teegis libpcap
Kirjeldus: mitmesugused probleemid lahendati, ajakohastades libpcapi versioonile 1.9.1
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Kirje lisati 6. aprillil 2020
Security
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: rakendus võib saada käivitada juhuslikku koodi süsteemiõigustega
Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.
CVE-2019-8832: Insu Yun, SSLab, Georgia Tech
WebKit
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: pahatahtliku veebisaidi külastamisel võivad avalikuks tulla kasutaja varem külastatud saidid
Kirjeldus: Storage Access API käsitlemisel esines teabe avalikustamise probleem. Kirjeldus: see probleem lahendati loogika parandamisega.
CVE-2019-8898: Michael Kleber, Google
Kirje lisati 11. veebruaril 2020, värskendati 20. veebruaril 2020
WebKit
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: pahatahtliku loodud veebisisu töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: mitu mälu kahjustumise probleemi lahendati mälu parema käitlemisega.
CVE-2019-8835: Trend Micro Zero Day algatusega koostööd tegev anonüümne panustaja, Mike Zhang, Pangu meeskond
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Saadaval toodetele: Apple TV 4K ja Apple TV HD
Mõju: pahatahtliku loodud veebisisu töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: kasutamine pärast tasuta väljaannet lahendati mälukäsitluse parandamisega.
CVE-2019-8846: Marcin Towalski, Cisco Talos
Täiendavad tänusõnad
Core Data
Täname abi eest Natalie Silvanovichi (Google Project Zero).
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda poole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda poole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust tarnijaga.