Teave Apple'i turbevärskenduste kohta
Selleks et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded saadaval. Hiljutised väljaanded on loetletud lehel Apple’i turbevärskendused.
Apple’i turbedokumentides on nõrkustele viitamiseks võimaluse korral kasutatud CVE-ID-d.
Lisateavet turbe kohta leiate lehelt Apple'i toodete turvalisus.
tvOS 13.3
Välja antud 10. detsembril 2019
CFNetwork
Toode: Apple TV 4K ja Apple TV HD
Mõju: privilegeeritud võrguasendis asuv ründaja võib piiratud arvu konkreetsete tippdomeenide puhul, mida varem HSTS-i eellaadimise loendis ei olnud, olla võimeline HSTS-ist mööda minema
Kirjeldus: konfiguratsiooniprobleem lahendati täiendavate piirangutega.
CVE-2019-8834: Rob Sayre (@sayrer)
Kirje lisati 4. aprillil 2020
CFNetworki puhverserverid
Toode: Apple TV 4K ja Apple TV HD
Mõju: rakendus võib saada kõrgema taseme õigused
Kirjeldus: probleemi lahenduseks pakuti täiustatud kontrolle.
CVE-2019-8848: Zhuo Liang, Qihoo 360 Vulcan Team
FaceTime
Toode: Apple TV 4K ja Apple TV HD
Mõju: pahatahtliku video töötlemine FaceTime’i kaudu võib viia suvalise koodi käitamiseni
Kirjeldus: lubamatu lugemise probleem lahendati täiustatud sisendandmete valideerimise kaudu.
CVE-2019-8830: natashenka Google Project Zerost
Tuum
Toode: Apple TV 4K ja Apple TV HD
Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada
Kirjeldus: mälu rikkumise probleem lahendati haavatava koodi eemaldamisega.
CVE-2019-8833: Ian Beer, Google Project Zero
Tuum
Toode: Apple TV 4K ja Apple TV HD
Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada
Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.
CVE-2019-8828: Cim Stordal, Cognite
CVE-2019-8838: Dr Silvio Cesare, InfoSect
libexpat
Toode: Apple TV 4K ja Apple TV HD
Mõju: pahatahtlikult koostatud XML-faili parsimine võib viia kasutajateabe avalikustamiseni
Kirjeldus: probleem lahendati, ajakohastades versioonile 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Toode: Apple TV 4K ja Apple TV HD
Mõju: mitmesugused probleemid teegis libpcap
Kirjeldus: mitmesugused probleemid lahendati, ajakohastades libpcapi versioonile 1.9.1
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Kirje lisati 6. aprillil 2020
Turvalisus
Toode: Apple TV 4K ja Apple TV HD
Toime: võimalik, et rakendus saab käivitada suvalise koodi süsteemiõigustega
Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.
CVE-2019-8832: Insu Yun, SSLab, Georgia Tech
WebKit
Toode: Apple TV 4K ja Apple TV HD
Mõju: pahatahtliku veebisaidi külastamisel võivad avalikuks tulla kasutaja varem külastatud saidid
Kirjeldus: Storage Access API käsitlemisel esines teabe avalikustamise probleem. Kirjeldus: see probleem lahendati loogika parandamisega.
CVE-2019-8898: Michael Kleber, Google
Kirje lisati 11. veebruaril 2020, värskendati 20. veebruaril 2020
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada suvalise koodi
Kirjeldus: mitmed mälu kahjustumise probleemid lahendati mälu parema käitlemisega.
CVE-2019-8835: Trend Micro Zero Day algatusega koostööd tegev anonüümne panustaja, Mike Zhang, Pangu meeskond
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Toode: Apple TV 4K ja Apple TV HD
Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada suvalise koodi
Kirjeldus: probleem mälu kasutamisega pärast selle vabastamist lahendati mälu täiustatud haldusega.
CVE-2019-8846: Marcin Towalski, Cisco Talos
Täiendav tunnustamine
Põhiandmed
Täname abi eest natashenkat (Google Project Zero).