Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 12.3
Objavljeno 13. svibnja 2019.
AppleFileConduit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
Bluetooth
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zbog pogrešne konfiguracije protokola Bluetooth uparivanja FIDO sigurnosnih ključeva u verziji za Bluetooth Low Energy (BLE) moguće je da napadač u fizičkoj blizini presretne Bluetooth promet tijekom uparivanja
Opis: ovaj je problem riješen onemogućivanjem dodatne opreme s nesigurnim Bluetooth vezama. Kupci koji koriste Googleov Titan sigurnosni ključ u verziji za Bluetooth Low Energy (BLE) trebali bi pogledati Biltene za Android za lipanj i Googleove smjernice i poduzeti odgovarajuće radnje.
CVE-2019-2102: Matt Beaver i Erik Peterson, Microsoft Corp.
Unos je dodan 17. rujna 2019.
CoreAudio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem pogreškama.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro
Unos je dodan 1. kolovoza 2019.
CoreAudio
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne filmske datoteke može doći do izvršavanja proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8585: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Jezgreni tekst
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8582: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 25. srpnja 2019.
Slike diska
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8560: Nikita Pupyshev (Državno tehničko sveučilište Bauman Moskva)
Unos je ažuriran 30. svibnja 2019.
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8633: Zhuo Liang, Qihoo 360 Vulcan Team
Unos je dodan 17. rujna 2019.
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8576: Brandon Azad (Google Project Zero), Junho Jang i Hanul Choi (tim za sigurnost, LINE)
Unos je ažuriran 30. svibnja 2019.
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neke aplikacije mogu uzrokovati neočekivani pad sustava, odnosno pisati kernelsku memoriju
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8591: Ned Williamson u suradnji s Google Project Zero
Poruke
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: korisnici uklonjeni iz iMessage razgovora i dalje mogu mijenjati stanje
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8631: Jamie Bishop, Dynastic
Unos dodan 1. kolovoza 2019.
Mobilna instalacija
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni korisnik može izmijeniti zaštićene dijelove datotečnog sustava
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija može steći korijenske ovlasti
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: aplikacije mogu dobiti veće ovlasti
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8577: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8600: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8598: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.
CVE-2019-8602: Omer Gull (Checkpoint Research)
sysdiagnose
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2019-8574: Dayton Pidhirney ((@_watbulb), Seekintoo, (@seekintoo))
Unos je ažuriran 3. veljače 2020.
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8607: Junho Jang i Hanul Choi (tim za sigurnost, LINE)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-6237: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro); Liu Long (tim Vulcan, Qihoo 360)
CVE-2019-8571: 01 u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica ((@babyjess1ca_), Tencent Keen Lab) i dwfault (ADLab, Venustech)
CVE-2019-8584: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8586: anonimni istraživač
CVE-2019-8587: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8594: Suyoung Lee i Sooel Son (laboratorij za web-sigurnost i privatnost, KAIST) te HyungSeok Han i Sang Kil Cha (laboratorij za softversku sigurnost, KAIST)
CVE-2019-8595: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8596: Wen Xu (SSLab, Georgia Tech)
CVE-2019-8597: 01 u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8601: Fluoroacetate u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8608: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8609: Wen Xu (SSLab, Georgia Tech)
CVE-2019-8610: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8611: Samuel Groß (Google Project Zero)
CVE-2019-8615: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8619: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (laboratorij za istraživanje sigurnosti, Chaitin)
CVE-2019-8622: Samuel Groß (Google Project Zero)
CVE-2019-8623: Samuel Groß (Google Project Zero)
CVE-2019-8628: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (laboratorij za istraživanje sigurnosti, Chaitin)
Wi-Fi
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: napadač na privilegiranoj poziciji na mreži može mijenjati stanje upravljačkog programa
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8612: Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Unos je dodan 30. svibnja 2019.
Wi-Fi
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.
CVE-2019-8620: David Kreitschmann i Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Dodatna zahvala
CoreAudio
Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.
Unos je dodan 25. srpnja 2019.
CoreFoundation
Željeli bismo zahvaliti Vozzieju, Ramiju i tvrtki m4bln, Xiangqianu Zhangu, Huiming Liuju (odjel Xuanwu Lab tvrtke Tencent) na pomoći.
Kernel
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i anonimnom istraživaču na pomoći.
MediaLibrary
Željeli bismo zahvaliti Angelu Ramirezu i Min (Spark) Zhengu, Xiaolong Baiju (Alibaba Inc.) na pomoći.
Mobilna instalacija
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.