À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
tvOS 13
Publié le mardi 24 septembre 2019
CoreAudio
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement d’un film malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.
CVE-2019-8705 : riusksk de VulWar Corp en collaboration avec le programme Zero Day Initiative de Trend Micro
Entrée ajoutée le 8 octobre 2019
Noyau
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2019-8717 : Jann Horn de Google Project Zero
Entrée ajoutée le 8 octobre 2019
Noyau
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.
Description : ce problème a été résolu par une meilleure logique des autorisations.
CVE-2019-8780 : Siguza
Entrée ajoutée le 8 octobre 2019
Claviers
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : un utilisateur local peut divulguer des données utilisateur sensibles.
Description : un problème d’authentification a été résolu par une meilleure gestion des états.
CVE-2019-8704 : 王 邦 宇 (wAnyBug.Com) de SAINTSEC
libxml2
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : libxml2 présentait plusieurs problèmes.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.
CVE-2019-8749 : découvert par OSS-Fuzz
CVE-2019-8756 : découvert par OSS-Fuzz
Entrée ajoutée le 8 octobre 2019
UIFoundation
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement d’un fichier texte malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.
CVE-2019-8745 : riusksk de VulWar Corp en collaboration avec le programme Zero Day Initiative de Trend Micro
Entrée ajoutée le 8 octobre 2019
WebKit
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement d’un contenu web malveillant peut provoquer une injection de code indirect universel (UXSS ou universal cross-site scripting).
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2019-8625 : Sergei Glazunov de Google Project Zero
CVE-2019-8719 : Sergei Glazunov de Google Project Zero
Entrée ajoutée le 8 octobre 2019
WebKit
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de cette dernière.
CVE-2019-8707 : un chercheur anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro, cc en collaboration avec le programme Zero Day Initiative de Trend Micro
CVE-2019-8720 : Wen Xu du SSLab de Georgia Tech
CVE-2019-8726 : Jihui Lu de Tencent KeenLab
CVE-2019-8733 : Sergei Glazunov de Google Project Zero
CVE-2019-8735 : G. Geshev en collaboration avec le programme Zero Day Initiative de Trend Micro
CVE-2019-8763 : Sergei Glazunov de Google Project Zero
Entrée ajoutée le 8 octobre 2019
Remerciements supplémentaires
boringssl
Nous tenons à remercier Thijs Alkemade (@xnyhps) de Computest pour son aide.
Entrée ajoutée le 8 octobre 2019
Clavier
Nous tenons à remercier un chercheur anonyme pour son aide.
Profils
Nous tenons à remercier James Seeley (@Code4iOS) de Shriver Job Corps pour son aide.
WebKit
Nous tenons à remercier Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao de DBAPPSecurity Zion Lab et un chercheur anonyme pour leur aide.
Entrée ajoutée le 8 octobre 2019