A tvOS 12.3 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 12.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 12.3

Kiadási dátum: 2019. május 13.

AppleFileConduit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

CoreAudio

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8585: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Lemezképek

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2019-8560: Nikita Pupyshev (Bauman Moscow State Technological University)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2019-8605: Ned Williamson, a Google Project Zero közreműködőjeként

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2019-8576: Brandon Azad (Google Project Zero), unho Jang és Hanul Choi (LINE Security Team)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2019-8591: Ned Williamson, a Google Project Zero közreműködőjeként

MobileInstallation

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.

Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

SQLite

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2019-8577: Omer Gull (Checkpoint Research)

SQLite

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8600: Omer Gull (Checkpoint Research)

SQLite

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2019-8598: Omer Gull (Checkpoint Research)

SQLite

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2019-8602: Omer Gull (Checkpoint Research)

sysdiagnose

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8574: Dayton Pidhirney (@_watbulb; Seekintoo, @seekintoo)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8607: Junho Jang és Hanul Choi (LINE Security Team)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-6237: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Liu Long (Qihoo 360 Vulcan Team)

CVE-2019-8571: 01, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica (@babyjess1ca_; Tencent Keen Lab) és dwfault, a Venustech ADLab közreműködőjeként

CVE-2019-8584: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8586: anonim kutató

CVE-2019-8587: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8594: Suyoung Lee és Sooel Son (KAIST Web Security & Privacy Lab), valamint HyungSeok Han és Sang Kil Cha (KAIST SoftSec Lab)

CVE-2019-8595: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8596: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8597: 01, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8601: Fluoroacetate, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8608: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8609: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8610: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8611: Samuel Groß (Google Project Zero)

CVE-2019-8615: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8619: Wen Xu (SSLab at Georgia Tech) és Hanqing Zhao (Chaitin Security Research Lab)

CVE-2019-8622: Samuel Groß (Google Project Zero)

CVE-2019-8623: Samuel Groß (Google Project Zero)

CVE-2019-8628: Wen Xu (SSLab at Georgia Tech) és Hanqing Zhao (Chaitin Security Research Lab)

Wi-Fi

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD

Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.

Leírás: Egy felhasználói adatvédelmi probléma hárult el a szórási MAC-cím eltávolításával.

CVE-2019-8620: David Kreitschmann és Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)

További köszönetnyilvánítás

CoreFoundation

Köszönjük a következők segítségét: Vozzie, Rami és m4bln, Xiangqian Zhang, Huiming Liu (Tencent; Xuanwu Lab).

Kernel

Köszönjük Brandon Azad (Google Project Zero) és egy anonim kutató segítségét.

MediaLibrary

Köszönjük Angel Ramirez és Min (Spark) Zheng, valamint Xiaolong Bai (Alibaba Inc.) segítségét.

MobileInstallation

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: