Sigurnosni sadržaj sustava tvOS 13
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 13.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 13
AppleFirmwareUpdateKext
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Zvuk
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8706: Yu Zhou (Ant-Financial Light-Year Security Lab)
Zvuk
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne audiodatoteke može doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
CFNetwork
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS Poland)
CoreAudio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro
CoreCrypto
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom velikog unosa može se izazvati uskraćivanje usluge
Opis: problem uskraćivanja usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8741: Nicky Mouha (NIST)
CoreAudio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Osnove
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8746: natashenka i Samuel Groß (Google Project Zero)
IOUSBDeviceFamily
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8718: Joshua Hill i Sem Voigtländer
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neka aplikacija mogla bi dobiti veće ovlasti
Opis: problem je riješen poboljšanim pravima.
CVE-2019-8703: anonimni istraživač
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalna aplikacija može čitati trajni identifikator računa
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8809: Apple
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.
CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8717: Jann Horn (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2019-8780: Siguza
Tipkovnice
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) (SAINTSEC)
libxml2
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: veći broj problema u medijateci libxml2
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8749: otkrio OSS-Fuzz
CVE-2019-8756: otkrio OSS-Fuzz
libxslt
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: veći broj problema u medijateci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8750: otkrio OSS-Fuzz
mDNSResponder
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: napadač koji se nalazi u blizini može pasivno promatrati nazive uređaja u AWDL komunikacijama
Opis: problem je riješen zamjenom naziva uređaja nasumičnim identifikatorom.
CVE-2019-8799: David Kreitschmann i Milan Stute (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu)
UIFoundation
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
UIFoundation
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8625: Sergei Glazunov (Google Project Zero)
CVE-2019-8719: Sergei Glazunov (Google Project Zero)
CVE-2019-8764: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8707: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), cc u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8710: otkrio OSS-Fuzz
CVE-2019-8726: Jihui Lu (Tencent KeenLab)
CVE-2019-8728: Junho Jang (tim za sigurnost, LINE) i Hanul Choi (ABLY Corporation)
CVE-2019-8733: Sergei Glazunov (Google Project Zero)
CVE-2019-8734: otkrio OSS-Fuzz
CVE-2019-8735: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8743: zhunki (tim Codesafe, Legendsec grupacije Qi'anxin)
CVE-2019-8751: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)
CVE-2019-8752: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)
CVE-2019-8763: Sergei Glazunov (Google Project Zero)
CVE-2019-8765: Samuel Groß (Google Project Zero)
CVE-2019-8766: otkrio OSS-Fuzz
CVE-2019-8773: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8762: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2020-9932: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)
Wi-Fi
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.
CVE-2019-8854: Ta-Lun Yen (UCCU Hacker i FuriousMacTeam, Pomorska akademija Sjedinjenih Država i Mitre Cooperation)
Dodatna zahvala
Zvuk
Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.
boringssl
Željeli bismo zahvaliti Nimrodu Aviramu sa Sveučilišta u Tel Avivu, Robertu Mergetu sa Sveučilišta Ruhr Bochum, Juraju Somorovskom sa Sveučilišta Ruhr Bochum, Thijsu Alkemadeu (@xnyhps) (Computest) na pomoći.
HomeKit
Željeli bismo zahvaliti Tianu Zhangu na pomoći.
Kernel
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i Vladu Tsyrklevichu na pomoći.
Tipkovnica
Želimo zahvaliti Sari Haradhvala (Harlen Web Consulting) anonimnoj istražiteljici za pomoć.
mDNSResponder
Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.
Profili
Željeli bismo zahvaliti Eriku Johnsonu (srednja škola Vernon Hills), Jamesu Seeleyju (@Code4iOS) (Shriver Job Corps) i Jamesu Seeleyju (@Code4iOS) (Shriver Job Corps) na pomoći.
WebKit
Željeli bismo zahvaliti MinJeong Kim (Laboratorij za informacijsku sigurnost, Nacionalno sveučilište Chungnam), JaeCheolu Ryou (Laboratorij za informacijsku sigurnost, Nacionalno sveučilište Chungnam u Južnoj Koreji), Yiğitu Canu Yilmazu (@yilmazcanyigit), Zhihuau Yaou (DBAPPSecurity Zion Lab), anonimnom istraživaču, cc u suradnji s inicijativom Trend Micro (Zero Day) na pomoći.
Unos dodan 8. listopada 2019. i ažuriran 29. listopada 2019.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.