אודות תוכני האבטחה של tvOS 13

מסמך זה מתאר את תוכני האבטחה של tvOS 13.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

tvOS 13

הושק ב-24 בספטמבר 2019

CoreAudio

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד של סרט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2019-8705: ‏riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-8 באוקטובר 2019

ליבה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8717:‏ יאן הורן מ-Google Project Zero

הערך נוסף ב-8 באוקטובר 2019

ליבה

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: אפליקציה זדונית עלולה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2019-8780: ‏Siguza

הערך נוסף ב-8 באוקטובר 2019

מקלדות

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: משתמש מקומי עשוי להדליף מידע רגיש אודות המשתמש

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8704: ‏王 邦 宇 ‏(wAnyBug.Com) מ-SAINTSEC

libxml2

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: מספר תקלות ב-libxml2

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2019-8749: התגלה על-ידי OSS-Fuzz

CVE-2019-8756: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-8 באוקטובר 2019

UIFoundation

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד קובץ טקסט בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2019-8745:‏ riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-8 באוקטובר 2019

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.

CVE-2019-8625:‏ סרגיי גלזונוב מ-Google Project Zero

CVE-2019-8719:‏ סרגיי גלזונוב מ-Google Project Zero

הערך נוסף ב-8 באוקטובר 2019

WebKit

זמין עבור: Apple TV 4K ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2019-8707: חוקר אנונימי בעבודה עם Zero Day Initiative של Trend Micro,‏ cc בעבודה עם Zero Day Initiative של Trend Micro

CVE-2019-8720:‏ וון שו מ-SSLab ב-Georgia Tech

CVE-2019-8726:‏ ג'י-חוי לו מ-Tencent KeenLab

CVE-2019-8733:‏ סרגיי גלזונוב מ-Google Project Zero

CVE-2019-8735:‏ ג. גשב יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8763:‏ סרגיי גלזונוב מ-Google Project Zero

הערך נוסף ב-8 באוקטובר 2019

תודות נוספות

boringssl

אנחנו מבקשים להודות לתייס אלקמדה ‏(‎@xnyhps) מ-Computest על הסיוע.

הערך נוסף ב-8 באוקטובר 2019

מקלדת

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

פרופילים

אנחנו מבקשים להודות לג'יימס סילי ‏(@Code4iOS) מ-Shriver Job Corps על הסיוע.

WebKit

אנחנו מבקשים להודות ל‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit), לג'י-חווה יאו מ-DBAPPSecurity Zion Lab ולחוקר אנונימי על הסיוע.

הערך נוסף ב-8 באוקטובר 2019

מידע על מוצרים שאינם מיוצרים על ידי Apple, או אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופקים ללא המלצות או חסות. Apple לא תישא באחריות לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מייצגת את מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. הסיכונים כרוכים בעצם השימוש באינטרנט. צור קשר עם הספק לקבלת מידע נוסף. שמות של חברות ומוצרים אחרים עשויים להוות סימנים מסחריים של בעליהם, בהתאמה.

תאריך פרסום: