Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 12.1.2
Objavljen 22. siječnja 2019.
AppleKeyStore
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-6235: Brandon Azad
CoreAnimation
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-6231: Zhuo Liang (Qihoo 360 Nirvan Team)
CoreAnimation
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerne su aplikacije mogle izaći izvan ograničene memorije
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6230: Proteas, Shrek_wzw i Zhuo Liang (Qihoo 360 Nirvan Team)
FaceTime
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: udaljeni napadač mogao bi pokrenuti poziv putem značajke FaceTime te uzrokovati izvršavanje proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6224: natashenka (Google Project Zero)
IOKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerne su aplikacije mogle izaći izvan ograničene memorije
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6214: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-6225: Brandon Azad (Google Project Zero), Qixun Zhao (Qihoo 360 Vulcan Team)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-6210: Ned Williamson (Google)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerna aplikacija mogla je izazvati neočekivane promjene u memoriji koja se dijeli između procesa
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom zaključanog statusa.
CVE-2019-6205: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-6213: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-6209: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerna aplikacija mogla je izazvati neočekivane promjene u memoriji koja se dijeli između procesa
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6208: Jann Horn (Google Project Zero)
libxpc
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-6218: Ian Beer (Google Project Zero)
SQLite
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-20346: Tencent Blade Team
CVE-2018-20505: Tencent Blade Team
CVE-2018-20506: Tencent Blade Team
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6227: Qixun Zhao (Qihoo 360 Vulcan Team)
CVE-2019-6233: G. Geshev (MWR Labs) i inicijativa Zero Day (Trend Micro)
CVE-2019-6234: G. Geshev (MWR Labs) i inicijativa Zero Day (Trend Micro)
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-6229: Ryan Pickren (ryanpickren.com)
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6215: Lokihardt (Google Project Zero)
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-6212: Mike Zhang (tim tvrtke Pangu), Wen Xu (SSLab, Georgia Tech)
CVE-2019-6216: Fluoroacetate i inicijativa Zero Day (Trend Micro)
CVE-2019-6217: Fluoroacetate i inicijativa Zero Day (Trend Micro), Proteas, Shrek_wzw i Zhuo Liang (Qihoo 360 Nirvan Team)
CVE-2019-6226: Apple
Unos je ažuriran 15. veljače 2019.
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8570: James Lee (@Windowsrcer) (S2SWWW.com)
Unos je dodan 3. travnja 2019., a ažuriran 11. rujna 2019.
Dodatna zahvala
mDNSResponder
Na pomoći zahvaljujemo Fatemah Alharbi s Kalifornijskog sveučilišta u Riversideu (UCR) i Sveučilišta Taibah (TU), Jie Chang iz tvrtke LinkSure Network, Yuchen Zhou sa Sveučilišta Northeastern, Feng Qian sa Sveučilišta Minnesota u Twin Cityju, Zhiyun Qian s Kalifornijskog sveučilišta u Riversideu (UCR) te Naelu Abu-Ghazalehu s Kalifornijskog sveučilišta u Riversideu (UCR).
WebKit
Željeli bismo zahvaliti anonimnom istraživaču na njegovoj pomoći.