אודות תוכני האבטחה של tvOS 12.4

מסמך זה מתאר את תוכני האבטחה של tvOS 12.4.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות מפורטות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.}

tvOS 12.4

הושק ב-22 ביולי 2019

Bluetooth

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לקלוט תעבורה ב-Bluetooth ‏(Key Negotiation of Bluetooth – KNOB)

תיאור: בעיית אימות קלט קיימת ב-Bluetooth. בעיה זו תוקנה באמצעות שיפור באימות קלט.

CVE-2019-9506: דניאל אנטוניולי מ-SUTD, סינגפור, ד"ר נילס אולה טיפנהאואר מ-CISPA, גרמניה, ופרופ' קספר רסמוסן מאוניברסיטת אוקספורד, אנגליה

הערך נוסף ב-13 באוגוסט 2019

נתוני ליבה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ייתכן שתוקף מרוחק יוכל להדליף זיכרון

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2019-8646: נטלי סילבנוביץ' מ-Google Project Zero

נתוני ליבה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ייתכן שתוקף מרוחק יגרום להפעלת קוד שרירותי

תיאור: בעיית use-after-free תוקנה באמצעות ניהול זיכרון משופר.

CVE-2019-8647: סמואל גרוס ונטלי סילבנוביץ' מ-Google Project Zero

נתוני ליבה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ייתכן שתוקף מרוחק יגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2019-8660: סמואל גרוס ונטלי סילבנוביץ' מ-Google Project Zero

Heimdal

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: קיימת בעיה ב-Samba שעלולה לאפשר לתוקפים לבצע פעולות לא מורשות על ידי קליטת תקשורת בין שירותים

תיאור: בעיה זו תוקנה באמצעות בדיקות משופרות כדי למנוע פעולות לא מורשות.

CVE-2018-16860: אייזק בוקריס ואנדרו ברטלט מ-Samba Team ו-Catalyst

עיבוד תמונה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תמונה בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות תוקנה באמצעות אימות משופר.

CVE-2019-8668: חוקר אנונימי

הערך נוסף ב-8 באוקטובר 2019

libxslt

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ייתכן שתוקף מרוחק יוכל להציג מידע רגיש

תיאור: גלישת מחסנית נפתרה באמצעות שיפור באימות קלט.

CVE-2019-13118: התגלה על-ידי OSS-Fuzz

פרופילים

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ייתכן שיישום זדוני יוכל להגביל את הגישה לאתרים

תיאור: בעיית אימות קיימת בטיפול באימות זכאות. בעיה זו תוקנה באמצעות אימות משופר של תהליך הזכאות.

CVE-2019-8698: לוק דשוטלס, ג'ורדן בייצ'לר ו-וויליאם אנק מאוניברסיטת המדינה של צפון קרוליינה; קוסטין קרבש ורזבן דיאקונסקו מאוניברסיטת POLITEHNICA בבוקרשט

מבט מהיר

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ייתכן שתוקף יוכל להפעיל בעיית use-after-free ביישום, מה שיגרום לביטול עריכה בסדרה של NSDictionary לא מהימן

תיאור: בעיה זו תוקנה באמצעות בדיקות משופרות.

CVE-2019-8662: סמואל גרוס ונטלי סילבנוביץ' מ-Google Project Zero

Siri

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ייתכן שתוקף מרוחק יוכל להדליף זיכרון

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2019-8646: נטלי סילבנוביץ' מ-Google Project Zero

UIFoundation

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: ניתוח מסמך Office שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2019-8657: ‏riusksk מ-VulWar Corp בשיתוף פעולה עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אתר שנוצר באופן זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: קיימת בעיית לוגיקה בטיפול בעומסי מסמכים. בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8690:‏ סרגיי גלזונוב מ-Google Project Zero

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אתר שנוצר באופן זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: קיימת בעיית לוגיקה בטיפול בעומסי דפים סינכרוניים. בעיה זו תוקנה באמצעות ניהול מצבים משופר.

CVE-2019-8649: סרגיי גלזונוב מ-Google Project Zero

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אתר שנוצר באופן זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8658:‏ akayn יחד עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנט שנוצר באופן זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיות מרובות של השחתת זיכרון נפתרו באמצעות טיפול משופר בזיכרון.

CVE-2019-8644:‏ ג. גשב יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8666: זונגמינג וונג ‏(王宗明) וז'ה ג'ין (金哲) מ-Chengdu Security Response Center ב-Qihoo 360 Technology Co. Ltd.‎.

CVE-2019-8669:‏ akayn יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8671: Apple

CVE-2019-8672: סמואל גרוס מ-Google Project Zero

CVE-2019-8673:‏ סויאון פארק ו-וון שו מ-SSLab ב-Georgia Tech

CVE-2019-8676:‏ סויאון פארק ו-וון שו מ-SSLab ב-Georgia Tech

CVE-2019-8677: ג'יהוי לו מ-Tencent KeenLab

CVE-2019-8678: אנתוני לאי (‏‎@darkfloyd1014) מ-Knownsec, קן וונג (‎@wwkenwong) מ-VXRL, ג'אונגהון שין (‎@singi21a) מ-Theori, ג'וני יו (‎@straight_blast) מ-VX Browser Exploitation Group, כריס צ'אן (@dr4g0nfl4me) מ-VX Browser Exploitation Group, פיל מוק (‎@shadyhamsters) מ-VX Browser Exploitation Group, אלן הו (‎@alan_h0) מ-Knownsec, ביירון וואי מ-VX Browser Exploitation, ‏P1umer מ-ADLab ב-Venustech

CVE-2019-8679: ג'יהוי לו מ-Tencent KeenLab

CVE-2019-8680: ג'יהוי לו מ-Tencent KeenLab

CVE-2019-8681:‏ ג. גשב יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8683:‏ lokihardt מ-Google Project Zero

CVE-2019-8684:‏ lokihardt מ-Google Project Zero

CVE-2019-8685:‏ akayn,‏ דונגז'ו ז'או יחד עם ADLab ב-Venustech,‏ קן וונג‏ (‎@wwkenwong) מ-VXRL,‏ אנתוני לאי‏ (‎@darkfloyd1014) מ-VXRL ואריק לונג‏ (‎@Khlung1) מ-VXRL

CVE-2019-8686:‏ ג. גשב יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8687: Apple

CVE-2019-8688: אינסו יון מ-SSLab במכון הטכנולוגי של ג'ורג'יה

CVE-2019-8689:‏ lokihardt מ-Google Project Zero

הערך עודכן ב-11 בספטמבר 2019

תודות נוספות

Game Center

אנו מודים למין (ספארק) ז'נג ושיאלונג באי מ-Alibaba Inc.‎ על העזרה.

התקנה במכשירים ניידים

אנו מודים לדני ליסיאנסקי (‏‎@DanyL931) על העזרה.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופקים ללא המלצות או חסות. Apple לא תישא באחריות לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מייצגת את מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. הסיכונים כרוכים בעצם השימוש באינטרנט. צור קשר עם הספק לקבלת מידע נוסף. שמות של חברות ומוצרים אחרים עשויים להוות סימנים מסחריים של בעליהם, בהתאמה.

תאריך פרסום: