Teave tvOS 13.3 turbesisu kohta

Selles dokumendis kirjeldatakse operatsioonisüsteemi tvOS 13.3 turbesisu.

Teave Apple’i turbevärskenduste kohta

Selleks et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded saadaval. Viimased väljaanded on loetletud Apple’i turbevärskenduste lehel.

Võimaluse korral viidatakse Apple’i turvadokumentides aadressil CVE-ID toodud turvaaukudele.

Lisateavet turvalisuse kohta leiate lehelt Apple’i toodete turvalisus.

tvOS 13.3

Välja antud 10. detsembril 2019

CFNetwork

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: privilegeeritud võrguasendis asuv ründaja võib piiratud arvu konkreetsete tippdomeenide puhul, mida varem HSTS-i eellaadimise loendis ei olnud, olla võimeline HSTS-ist mööda minema

Kirjeldus: konfiguratsiooniprobleem lahendati täiendavate piirangutega.

CVE-2019-8834: Rob Sayre (@sayrer)

Kirje lisatud 4. aprillil 2020

CFNetwork Proxies

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: rakendus võib saada suuremaid õigusi

Kirjeldus: see probleem lahendati kontrollide parandamisega.

CVE-2019-8848: Zhuo Liang, Qihoo 360 Vulcan Team

FaceTime

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: pahatahtliku video töötlemine FaceTime’i kaudu võib viia suvalise koodi käitamiseni

Kirjeldus: piire ületavate andmete probleem lahendati sisendi valideerimise parandamisega.

CVE-2019-8830: Natalie Silvanovich, Google Project Zero

IOUSBDeviceFamily

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama

Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.

CVE-2019-8836: Xiaolong Bai ja Min (Spark) Zheng (Alibaba Inc.) ja Luyi Xing (Indiana Bloomingtoni ülikool)

Tuum

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama

Kirjeldus: mälu rikkumise probleem lahendati haavatava koodi eemaldamisega.

CVE-2019-8833: Ian Beer, Google Project Zero

Tuum

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama

Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.

CVE-2019-8828: Cim Stordal, Cognite

CVE-2019-8838: Dr Silvio Cesare, InfoSect

libexpat

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: pahatahtlikult koostatud XML-faili parsimine võib viia kasutajateabe avalikustamiseni

Kirjeldus: probleem lahendati, ajakohastades versioonile 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: mitmesugused probleemid teegis libpcap

Kirjeldus: mitmesugused probleemid lahendati, ajakohastades libpcapi versioonile 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Kirje lisati 6. aprillil 2020

Turvalisus

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: rakendus võib olla võimeline suvalist koodi süsteemiõigustega käitama

Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.

CVE-2019-8832: Insu Yun, SSLab, Georgia Tech

WebKit

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: pahatahtliku veebisaidi külastamisel võivad avalikuks tulla kasutaja varem külastatud saidid

Kirjeldus: Storage Access API käsitlemisel esines teabe avalikustamise probleem. Kirjeldus: see probleem lahendati loogika parandamisega.

CVE-2019-8898: Michael Kleber, Google

Kirje lisati 11. veebruaril 2020, värskendati 20. veebruaril 2020

WebKit

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: pahatahtlikult formuleeritud veebisisu töötlemine võib viia juhusliku koodi käitamiseni

Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati mälukäsitluse parandamisega.

CVE-2019-8835: Trend Micro Zero Day algatusega koostööd tegev anonüümne panustaja, Mike Zhang, Pangu meeskond

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Saadaval: Apple TV 4K ja Apple TV HD

Mõju: pahatahtlikult formuleeritud veebisisu töötlemine võib viia juhusliku koodi käitamiseni

Kirjeldus: kasutamine pärast tasuta väljaannet lahendati mälukäsitluse parandamisega.

CVE-2019-8846: Marcin Towalski, Cisco Talos

Täiendavad tänusõnad

Põhiandmed

Täname abi eest Natalie Silvanovichi (Google Project Zero).

Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.

Avaldamiskuupäev: