מידע על תוכן האבטחה של tvOS 13.3
מסמך זה מתאר את תוכן האבטחה של tvOS 13.3.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
tvOS 13.3
הופץ ב-10 בדצמבר 2019
CFNetwork
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לעקוף את HSTS למספר מוגבל של דומיינים מסוימים ברמה עליונה שקודם לכן לא הופיעו ברשימת הטעינה מראש של HSTS
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2019-8834: רוב סאייר (@sayrer)
הערך נוסף ב-4 באפריל 2020
CFNetwork Proxies
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2019-8848: ז'ואו ליאנג מצוות Vulcan ב-Qihoo 360
FaceTime
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: עיבוד סרטונים בעלי תוכן זדוני דרך FaceTime עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8830: נטאשנקה מ-Google Project Zero
Kernel
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.
CVE-2019-8833: איאן ביר מ-Google Project Zero
Kernel
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8828: קים סטורדל מ-Cognite
CVE-2019-8838: ד"ר סילביו צ'זרה מ-InfoSect
libexpat
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: ניתוח קובץ XML בעל מבנה זדוני עלול להוביל לחשיפת מידע משתמש
תיאור: בעיה זו טופלה באמצעות עדכון ל-expat בגרסה 2.2.8.
CVE-2019-15903: ג'ונאן ג'אנג
libpcap
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: מספר בעיות ב-libpcap
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 1.9.1 של libpcap
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
הערך נוסף ב-6 באפריל 2020
Security
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8832: אינסו יון מ-SSLab במכון הטכנולוגי של ג'ורג'יה
WebKit
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: ביקור באתר בעל מבנה זדוני עלול לחשוף אתרים שבהם ביקר המשתמש
תיאור: בעיה של חשיפת מידע הייתה קיימת בטיפול ב-API של גישה לאחסון. בעיה זו טופלה באמצעות לוגיקה משופרת.
CVE-2019-8898: מייקל קלבר מ-Google
הערך נוסף ב-11 בפברואר 2020, עודכן ב-20 בפברואר 2020
WebKit
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2019-8835: אנונימי בשיתוף פעולה עם יוזמת Zero Day של Trend Micro, מייק ז'אנג מ-Pangu Team
CVE-2019-8844: וויליאם באולינג (@wcbowling)
WebKit
זמין עבור: Apple TV 4K ו-Apple TV HD
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2019-8846: מרצ'ין טובלסקי מ-Cisco Talos
תודות נוספות
Core Data
ברצוננו להודות לנטאשנקה מ-Google Project Zero על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.