Mengenai konten keamanan tvOS 13.3

Dokumen ini menjelaskan konten keamanan tvOS 13.3.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman Pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

tvOS 13.3

CFNetwork

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat memintas HSTS untuk sejumlah domain tingkat atas tertentu yang sebelumnya tidak tercantum dalam daftar preload HSTS

Deskripsi: Masalah konfigurasi telah diatasi dengan pembatasan tambahan.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork Proxies

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-8848: Zhuo Liang dari Qihoo 360 Vulcan Team

FaceTime

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses video berbahaya melalui FaceTime dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2019-8830: natashenka dari Google Project Zero

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan menghapus kode yang rentan.

CVE-2019-8833: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8828: Cim Stordal dari Cognite

CVE-2019-8838: Dr. Silvio Cesare dari InfoSect

libexpat

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Menguraikan file XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah ini telah diatasi dengan memperbarui ke expat versi 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Berbagai masalah di libpcap

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke libpcap versi 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Security

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8832: Insu Yun dari SSLab di Georgia Tech

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengungkap situs yang telah dikunjungi pengguna

Deskripsi: Masalah pengungkapan informasi muncul saat menangani API Akses Penyimpanan. Masalah ini telah diatasi dengan logika yang ditingkatkan.

CVE-2019-8898: Michael Kleber dari Google

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8835: Anonim bekerja sama dengan Zero Day Initiative dari Trend Micro, Mike Zhang dari Pangu Team

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Tersedia untuk: Apple TV 4K dan Apple TV HD

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2019-8846: Marcin Towalski dari Cisco Talos

Ucapan terima kasih tambahan

Core Data

Kami ingin mengucapkan terima kasih kepada natashenka dari Google Project Zero atas bantuannya.