Informacije o sigurnosnom sadržaju sustava tvOS 12.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 12.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 12.4

Objavljeno 22. srpnja 2019.

Bluetooth

Dostupno za: Apple TV 4K i Apple TV HD

Utjecaj: napadač s položaja privilegirane mreže može presresti Bluetooth promet (Key Negotiation of Bluetooth - KNOB)

Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-9506: Daniele Antonioli s SUTD-a, Singapur, dr. Nils Ole Tippenhauer iz CISPA-e, Njemačka i prof. Kasper Rasmussen sa Sveučilišta u Oxfordu, Engleska

Izmjene za ovo izdanje rješavaju probleme za CVE-2020-10135.

Unos je dodan 13. kolovoza 2019., ažurirano 25. lipnja 2020.

Temeljni podaci

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: natashenka (Google Project Zero)

Temeljni podaci

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8647: Samuel Groß i natashenka (Google Project Zero)

Temeljni podaci

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8660: Samuel Groß i natashenka (Google Project Zero)

Game Center

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: lokalni korisnik može čitati trajni identifikator računa

Opis: problem je riješen novim ovlastima.

CVE-2019-8702: Min (Spark) Zheng i Xiaolong Bai (Alibaba Inc.)

Unos dodan 24. veljače 2020.

Heimdal

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: u sustavu Samba postojao je problem koji je omogućivao napadačima izvršavanje neovlaštenih postupaka presretanjem komunikacija između usluga

Opis: taj je problem riješen poboljšanim provjerama za sprječavanje neovlaštenih postupaka.

CVE-2018-16860: Isaac Boukris i Andrew Bartlett (Samba Team i Catalyst)

Obrada slika

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8668: anonimni istraživač

Unos je dodan 8. listopada 2019.

libxslt

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može vidjeti povjerljive podatke

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2019-13118: otkrio OSS-Fuzz

Profili

Dostupno za: Apple TV 4K i Apple TV HD

Opis: zlonamjerna aplikacija može ograničiti pristup web-stranicama

Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.

CVE-2019-8698: Luke Deshotels, Jordan Beichler i William Enck (Državno sveučilište Sjeverna Karolina); Costin Carabaș i Răzvan Deaconescu (Politehničko sveučilište u Bukureštu)

Brzi pregled

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: napadač može pokrenuti upotrebu nakon besplatne probe u aplikaciji deserijalizirajući nepouzdani NSDictionary

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8662: natashenka i Samuel Groß (Google Project Zero)

Siri

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: natashenka (Google Project Zero)

UIFoundation

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8657: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: postojao je logički problem u rukovanju učitavanjima dokumenata. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-8690: Sergei Glazunov (Google Project Zero)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: postojao je logički problem u rukovanju sinkronim učitavanjima stranica. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-8649: Sergei Glazunov (Google Project Zero)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8658: akayn u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: Apple TV 4K i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8644: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8666: Zongming Wang (王宗明) i Zhe Jin (金哲) (Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.)

CVE-2019-8669: akayn u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß (Google Project Zero)

CVE-2019-8673: Soyeon Park i Wen Xu (SSLab, Georgia Tech)

CVE-2019-8676: Soyeon Park i Wen Xu (SSLab, Georgia Tech)

CVE-2019-8677: Jihui Lu (Tencent KeenLab)

CVE-2019-8678: Anthony Lai ((@darkfloyd1014), Knownsec), Ken Wong ((@wwkenwong), VXRL), Jeonghoon Shin ((@singi21a), Theori), Johnny Yu ((@straight_blast), VX Browser Exploitation Group), Chris Chan ((@dr4g0nfl4me), VX Browser Exploitation Group), Phil Mok ((@shadyhamsters), VX Browser Exploitation Group), Alan Ho ((@alan_h0), Knownsec), Byron Wai (VX Browser Exploitation), P1umer (ADLab, Venustech)

CVE-2019-8679: Jihui Lu (Tencent KeenLab)

CVE-2019-8680: Jihui Lu (Tencent KeenLab)

CVE-2019-8681: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8683: lokihardt (Google Project Zero)

CVE-2019-8684: lokihardt (Google Project Zero)

CVE-2019-8685: akayn, Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech), Ken Wong ((@wwkenwong), VXRL), Anthony Lai ((@darkfloyd1014), VXRL) i Eric Lung ((@Khlung1), VXRL)

CVE-2019-8686: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)

CVE-2019-8689: lokihardt (Google Project Zero)

Unos ažuriran 11. rujna 2019.

Dodatna zahvala

Game Center

Željeli bismo zahvaliti Minu (Spark) Zhengu i Xiaolongu Baiju (Alibaba Inc.) na pomoći.

Mobilna instalacija

Željeli bismo zahvaliti Danyju Lisianskyju (@DanyL931) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: