Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
tvOS 13
Julkaistu 24.9.2019
CoreAudio
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)
Kohta lisätty 8.10.2019
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8717: Jann Horn (Google Project Zero)
Kohta lisätty 8.10.2019
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2019-8780: Siguza
Kohta lisätty 8.10.2019
Näppäimistöt
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com, SAINTSEC)
libxml2
Saatavuus: Apple TV 4K ja Apple TV HD
Impact: libxml2:ssa on useita ongelmia
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2019-8749: OSS-Fuzzin löytämä
CVE-2019-8756: OSS-Fuzzin löytämä
Kohta lisätty 8.10.2019
UIFoundation
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2019-8745: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)
Kohta lisätty 8.10.2019
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8625: Sergei Glazunov (Google Project Zero)
CVE-2019-8719: Sergei Glazunov (Google Project Zero)
Kohta lisätty 8.10.2019
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8707: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija, Trend Micron Zero Day Initiativen parissa työskentelevä cc
CVE-2019-8720: Wen Xu (Georgia Techin SSLab)
CVE-2019-8726: Jihui Lu (Tencent KeenLab)
CVE-2019-8733: Sergei Glazunov (Google Project Zero)
CVE-2019-8735: Trend Micron Zero Day Initiativen parissa työskentelevä G. Geshev
CVE-2019-8763: Sergei Glazunov (Google Project Zero)
Kohta lisätty 8.10.2019
Kiitokset
boringssl
Haluamme kiittää Computestin Thijs Alkemadea (@xnyhps) hänen avustaan.
Kohta lisätty 8.10.2019
Näppäimistö
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Profiilit
Haluamme kiittää James Seeleyä (@Code4iOS, Shriver Job Corps) hänen avustaan.
WebKit
Haluamme kiittää avusta seuraavia: Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao (DBAPPSecurity Zion Lab) ja nimetön tutkija.
Kohta lisätty 8.10.2019