Tietoja tvOS 13:n turvallisuussisällöstä

Tässä dokumentissa kerrotaan tvOS 13:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

tvOS 13

Julkaistu 24.9.2019

CoreAudio

Saatavuus: Apple TV 4K ja Apple TV HD

Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

Kohta lisätty 8.10.2019

Kernel

Saatavuus: Apple TV 4K ja Apple TV HD

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kohta lisätty 8.10.2019

Kernel

Saatavuus: Apple TV 4K ja Apple TV HD

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2019-8780: Siguza

Kohta lisätty 8.10.2019

Näppäimistöt

Saatavuus: Apple TV 4K ja Apple TV HD

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com, SAINTSEC)

libxml2

Saatavuus: Apple TV 4K ja Apple TV HD

Impact: libxml2:ssa on useita ongelmia

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8749: OSS-Fuzzin löytämä

CVE-2019-8756: OSS-Fuzzin löytämä

Kohta lisätty 8.10.2019

UIFoundation

Saatavuus: Apple TV 4K ja Apple TV HD

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2019-8745: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

Kohta lisätty 8.10.2019

WebKit

Saatavuus: Apple TV 4K ja Apple TV HD

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8625: Sergei Glazunov (Google Project Zero)

CVE-2019-8719: Sergei Glazunov (Google Project Zero)

Kohta lisätty 8.10.2019

WebKit

Saatavuus: Apple TV 4K ja Apple TV HD

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8707: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija, Trend Micron Zero Day Initiativen parissa työskentelevä cc

CVE-2019-8720: Wen Xu (Georgia Techin SSLab)

CVE-2019-8726: Jihui Lu (Tencent KeenLab)

CVE-2019-8733: Sergei Glazunov (Google Project Zero)

CVE-2019-8735: Trend Micron Zero Day Initiativen parissa työskentelevä G. Geshev

CVE-2019-8763: Sergei Glazunov (Google Project Zero)

Kohta lisätty 8.10.2019

Kiitokset

boringssl

Haluamme kiittää Computestin Thijs Alkemadea (@xnyhps) hänen avustaan.

Kohta lisätty 8.10.2019

Näppäimistö

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Profiilit

Haluamme kiittää James Seeleyä (@Code4iOS, Shriver Job Corps) hänen avustaan.

WebKit

Haluamme kiittää avusta seuraavia: Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao (DBAPPSecurity Zion Lab) ja nimetön tutkija.

Kohta lisätty 8.10.2019

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: