A tvOS 13.2 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 13.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 13.2

Kiadási dátum: 2019. október 28.

Fiókok

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)

App Store

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A helyi támadók adott esetben érvényes hitelesítő adatok nélkül is be tudtak jelentkezni egy olyan felhasználó fiókjába, aki korábban bejelentkezett.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Hang

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8785: Ian Beer (Google Project Zero)

CVE-2019-8797: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben

AVEVideoEncoder

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8795: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben

Események a fájlrendszerben

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8798: ABC Research s.r.o., a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2019-8794: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8786: anonim kutató

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8813: anonim kutató

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8782: Cheolung Lee (LINE+ Security Team)

CVE-2019-8783: Cheolung Lee (LINE+ Graylab Security Team)

CVE-2019-8808: megtaláló: OSS-Fuzz

CVE-2019-8811: Soyeon Park (SSLab, Georgia Tech)

CVE-2019-8812: anonim kutató

CVE-2019-8814: Cheolung Lee (LINE+ Security Team)

CVE-2019-8816: Soyeon Park (SSLab, Georgia Tech)

CVE-2019-8819: Cheolung Lee (LINE+ Security Team)

CVE-2019-8820: Samuel Groß (Google Project Zero)

CVE-2019-8821: Sergei Glazunov (Google Project Zero)

CVE-2019-8822: Sergei Glazunov (Google Project Zero)

CVE-2019-8823: Sergei Glazunov (Google Project Zero)

WebKit-folyamatmodell

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8815: Apple

További köszönetnyilvánítás

CFNetwork

Köszönjük Lily Chen (Google) segítségét.

Kernel

Köszönjük Jann Horn (Google Project Zero) segítségét.

WebKit

Köszönjük Dlive (Tencent, Xuanwu Lab) és Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: