Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 13.2
Objavljeno 28. listopada 2019.
Računi
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8787: Steffen Klee (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
App Store
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: lokalni napadač može se bez valjanih vjerodajnica prijaviti na račun korisnika koji je već bio prijavljen.
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
Zvuk
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB i SSD Secure Disclosure
AVEVideoEncoder
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8795: 08Tc3wBB i SSD Secure Disclosure
Događaji datotečnog sustava
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8798: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8794: 08Tc3wBB i SSD Secure Disclosure
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8786: Wen Xu (Georgia Tech, stažist istraživačkog tima Microsoft Offensive Security)
Unos je ažuriran 18. studenoga 2019.
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8829: Jann Horn (Google Project Zero)
Unos je dodan 8. studenoga 2019.
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8813: anonimni istraživač
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8782: Cheolung Lee (tim za sigurnost, LINE+)
CVE-2019-8783: Cheolung Lee (tim za sigurnost, LINE+)
CVE-2019-8808: otkrio OSS-Fuzz
CVE-2019-8811: Soyeon Park (SSLab, Georgia Tech)
CVE-2019-8812: JunDong Xie (Ant-financial Light-Year Security Lab)
CVE-2019-8814: Cheolung Lee (tim za sigurnost, LINE+)
CVE-2019-8816: Soyeon Park (SSLab, Georgia Tech)
CVE-2019-8819: Cheolung Lee (tim za sigurnost, LINE+)
CVE-2019-8820: Samuel Groß (Google Project Zero)
CVE-2019-8821: Sergei Glazunov (Google Project Zero)
CVE-2019-8822: Sergei Glazunov (Google Project Zero)
CVE-2019-8823: Sergei Glazunov (Google Project Zero)
Unos je ažuriran 18. studenoga 2019.
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: posjet zlonamjernom web-mjestu može otkriti ostala web-mjesta koja je korisnik posjetio
Opis: zaglavlje HTTP-a referenta može se upotrijebiti za otkrivanje povijesti pregledavanja. Problem je riješen degradiranjem svih referenata treće strane na njihovo ishodište.
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum i Roberto Clapis (Googleov tim za sigurnost)
Unos je dodan 3. veljače 2020.
Model procesiranja za WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8815: Apple
Dodatna zahvala
CFNetwork
Željeli bismo zahvaliti Lily Chen (Google) na pomoći.
Kernel
Željeli bismo zahvaliti Danielu Roethlisbergeru (Swisscom CSIRT) i Jannu Hornu (Google Project Zero) na pomoći.
Unos je ažuriran 8. studenoga 2019.
WebKit
Željeli bismo zahvaliti Dliveu (Tencentov odjel Xuanwu Lab) i Zhiyi Zhang (tim Codesafe. Legendsec grupacije Qi'anxin) na pomoći.