À propos des correctifs de sécurité de tvOS 12.2

Ce document décrit les correctifs de sécurité de tvOS 12.2.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

tvOS 12.2

Publié le 25 mars 2019

802.1X

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter le trafic du réseau.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2019-6203 : Dominic White de SensePost (@singe)

Entrée ajoutée le 15 avril 2019

CFString

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’une chaîne malveillante peut conduire à un déni de service.

Description : un problème de validation a été résolu par une meilleure logique.

CVE-2019-8516 : SWIPS Team de Frifee Inc.

configd

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante peut permettre l’augmentation des privilèges.

Description : un problème d’initialisation de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2019-8552 : Mohamed Ghannam (@_simo36)

CoreCrypto

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante peut permettre l’augmentation des privilèges.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2019-8542 : un chercheur anonyme

file

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un fichier malveillant peut divulguer des informations utilisateur.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2019-8906 : Francisco Alonso

Entrée mise à jour le 15 avril 2019

Foundation

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : il est possible qu’une application profite de privilèges élevés.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2019-7286 : un chercheur anonyme, Clement Lecigne du Google Threat Analysis Group, Ian Beer et Samuel Groß de Google Project Zero

GeoServices

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le fait de cliquer sur un lien SMS malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2019-8553 : un chercheur anonyme

iAP

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante peut permettre l’augmentation des privilèges.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2019-8542 : un chercheur anonyme

IOHIDFamily

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou la lecture du contenu de la mémoire du noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2019-8545 : Adam Donenfeld (@doadam) de la Zimperium zLabs Team

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un attaquant distant peut être en mesure de d’altérer les données relatives au trafic sur le réseau.

Description : les paquets IPv6 présentaient un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2019-5608 : Apple

Entrée ajoutée le 6 août 2019

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un attaquant distant peut divulguer le contenu de la mémoire.

Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu grâce à une meilleure validation des entrées.

CVE-2019-8547 : derrek (@derrekr6)

Entrée ajoutée le 30 mai 2019

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2019-8525 : Zhuo Liang et shrek_wzw de la Qihoo 360 Nirvan Team

Entrée ajoutée le 30 mai 2019

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un attaquant distant peut être en mesure d’entraîner l’arrêt inopiné du système ou de corrompre la mémoire du noyau.

Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.

CVE-2019-8527 : Ned Williamson de Google et derrek (@derrekr6)

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2019-8528 : Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) de la Qihoo 360 Vulcan Team

Entrée ajoutée le 3 avril 2019

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème d’initialisation de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2019-8540 : Weibo Wang (@ma1fan) de la Qihoo 360 Nirvan Team

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : il est possible qu’une application profite de privilèges élevés.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2019-8514 : Samuel Groß de Google Project Zero

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un utilisateur local peut être en mesure de lire la mémoire du noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2019-7293 : Ned Williamson de Google

Noyau

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu grâce à une meilleure validation des entrées.

CVE-2019-6207 : Weibo Wang de la Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510 : Stefan Esser d’Antid0te UG

MediaLibrary

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante peut accéder à des fichiers restreints.

Description : un problème d’autorisations a été résolu en supprimant le code vulnérable et en ajoutant des vérifications supplémentaires.

CVE-2019-8532 : Angel Ramirez, Min (Spark) Zheng et Xiaolong Bai d’Alibaba Inc.

Entrée ajoutée le 30 mai 2019

Gestion de l’alimentation

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

Description : il existait plusieurs problèmes de validation des entrées dans le code généré par MIG. Ces problèmes ont été résolus par une meilleure validation.

CVE-2019-8549 : Mohamed Ghannam (@_simo36) de SSD Secure Disclosure (ssd-disclosure.com)

Sandbox

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un processus sandboxé peut contourner les restrictions sandbox.

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2019-8618 : Brandon Azad

Entrée ajoutée le 30 mai 2019

Sécurité

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un certificat de serveur RADIUS non approuvé peut être considéré comme un certificat de confiance.

Description : la gestion des ancres de confiance présentait un problème de validation. Ce problème a été résolu par une meilleure validation.

CVE-2019-8531 : un chercheur anonyme, équipe QA de SecureW2

Entrée ajoutée le 15 mai 2019

Siri

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante peut démarrer une demande de dictée sans que l’utilisateur ne l’ait autorisé.

Description : un problème d’API existait au niveau de la gestion des demandes de dictée. Ce problème a été résolu par une meilleure validation.

CVE-2019-8502 : Luke Deshotels de la North Carolina State University, Jordan Beichler de la North Carolina State University, William Enck de la North Carolina State University, Costin Carabaș de l’Université POLITEHNICA de Bucharest et Răzvan Deaconescu de l’Université POLITEHNICA de Bucarest

TrueTypeScaler

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’une police malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2019-8517 : riusksk de VulWar Corp en collaboration avec le programme Zero Day Initiative de Trend Micro

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un contenu Web malveillant peut provoquer une injection de code indirect universel (UXSS ou universal cross-site scripting).

Description : un problème de logique a été résolu par une meilleure validation.

CVE-2019-8551 : Ryan Pickren (ryanpickren.com)

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2019-8535 : Zhiyang Zeng (@Wester) de la Blade Team de Tencent Team

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de cette dernière.

CVE-2019-6201 : dwfault en collaboration avec ADLab de Venustech

CVE-2019-8518 : Samuel Groß de Google Project Zero

CVE-2019-8523 : Apple

CVE-2019-8524 : G. Geshev en collaboration avec le programme Zero Day Initiative de Trend Micro

CVE-2019-8558 : Samuel Groß de Google Project Zero

CVE-2019-8559 : Apple

CVE-2019-8563 : Apple

CVE-2019-8638 : découvert par OSS-Fuzz

CVE-2019-8639 : découvert par OSS-Fuzz

Entrée mise à jour le 30 mai 2019

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un processus sandboxé peut contourner les restrictions sandbox.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2019-8562 : Wen Xu du SSLab de Georgia Tech et Hanqing Zhao du Chaitin Security Research Lab

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur

Description : un problème d’origines multiples existait au niveau de l’API Fetch. Ce problème a été résolu grâce à une meilleure validation des entrées.

CVE-2019-8515 : James Lee (@Windowsrcer)

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2019-8536 : Apple

CVE-2019-8544 : un chercheur anonyme

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2019-7285 : dwfault travaillant à l’ADLab de Venustech

CVE-2019-8556 : Apple

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de confusion liée aux types a été résolu par une meilleure gestion de la mémoire.

CVE-2019-8506 : Samuel Groß de Google Project Zero

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : un site web malveillant peut être en mesure d’exécuter des scripts dans le contexte d’un autre site web

Description : un problème de logique a été résolu par une meilleure validation.

CVE-2019-8503 : Linus Särud de Detectify

WebKit

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : un problème de validation a été résolu par une meilleure logique.

CVE-2019-7292 : Zhunki et Zhiyi Zhang de la 360 ESG Codesafe Team

XPC

Disponible pour : Apple TV 4K et Apple TV HD anciennement Apple TV (4e génération)

Conséquence : une application malveillante est en mesure d’effacer des fichiers arbitraires.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2019-8530 : CodeColorist du Ant-financial Light-Year Security Lab

Remerciements supplémentaires

Comptes

Nous tenons à remercier Milan Stute du Secure Mobile Networking Lab du Technische Universität Darmstadt pour son aide.

Entrée ajoutée le 30 mai 2019

Noyau

Nous tenons à remercier Brandon Azad de Google Project Zero et Raz Mashat (@RazMashat) du lycée Ilan Ramon High School pour leur aide.

Entrée mise à jour le 30 mai 2019

Safari

Nous tenons à remercier Ryan Pickren (ryanpickren.com) et Nikhil Mittal (@c0d3G33k) de Payatu Labs (payatu.com) pour leur aide.

Entrée mise à jour le 30 mai 2019

WebKit

Nous tenons à remercier Andrey Kovalev de l’équipe de sécurité de Yandex pour son aide.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: