Informazioni sui contenuti di sicurezza di tvOS 12.4
In questo documento vengono descritti i contenuti di sicurezza di tvOS 12.4.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
tvOS 12.4
Bluetooth
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico Bluetooth (Key Negotiation of Bluetooth - KNOB).
Descrizione: esisteva un problema di convalida dell'input relativo al Bluetooth. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-9506: Daniele Antonioli di SUTD, Singapore, Dr. Nils Ole Tippenhauer di CISPA, Germania, e Prof. Kasper Rasmussen della University of Oxford, Inghilterra
Le modifiche a questo problema limitano CVE-2020-10135.
Core Data
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8646: natashenka di Google Project Zero
Core Data
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8647: Samuel Groß e natashenka di Google Project Zero
Core Data
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8660: Samuel Groß e natashenka di Google Project Zero
Game Center
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente locale potrebbe riuscire a leggere un identificatore account persistente.
Descrizione: questo problema è stato risolto con una nuova autorizzazione.
CVE-2019-8702: Min (Spark) Zheng e Xiaolong Bai di Alibaba Inc.
Heimdal
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un problema in Samba può consentire a utenti malintenzionati di eseguire azioni non autorizzate intercettando le comunicazioni tra i servizi.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2018-16860: Isaac Boukris e Andrew Bartlett di Samba Team e Catalyst
Elaborazione delle immagini
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida.
CVE-2019-8668: un ricercatore anonimo
libxslt
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare dati sensibili.
Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-13118: rilevato da OSS-Fuzz
Profili
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione dannosa può limitare l'accesso ai siti web.
Descrizione: si verificava un problema di convalida nella verifica delle autorizzazioni. Il problema è stato risolto con una migliore convalida delle autorizzazioni del processo.
CVE-2019-8698: Luke Deshotels, Jordan Beichler e William Enck della North Carolina State University; Costin Carabaș e Răzvan Deaconescu dell'Università Politehnica di Bucarest
QuickLook
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato può attivare una vulnerabilità use-after-free in un'applicazione deserializzando un NSDictionary non attendibile.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8662: natashenka e Samuel Groß di Google Project Zero
Siri
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8646: natashenka di Google Project Zero
UIFoundation
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8657: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione dei caricamenti dei documenti. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8690: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione dei caricamenti simultanei delle pagine. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8649: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8658: akayn in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8644: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8666: Zongming Wang (王宗明) e Zhe Jin (金哲) del Chengdu Security Response Center di Qihoo 360 Technology Co. Ltd.
CVE-2019-8669: akayn in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8671: Apple
CVE-2019-8672: Samuel Groß di Google Project Zero
CVE-2019-8673: Soyeon Park e Wen Xu di SSLab del Georgia Tech
CVE-2019-8676: Soyeon Park e Wen Xu di SSLab del Georgia Tech
CVE-2019-8677: Jihui Lu di Tencent KeenLab
CVE-2019-8678: Anthony Lai (@darkfloyd1014) di Knownsec, Ken Wong (@wwkenwong) di VXRL, Jeonghoon Shin (@singi21a) di Theori, Johnny Yu (@straight_blast) di VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) di VX Browser Exploitation Group, Phil Mok (@shadyhamsters) di VX Browser Exploitation Group, Alan Ho (@alan_h0) di Knownsec, Byron Wai di VX Browser Exploitation e P1umer di ADLab of Venustech
CVE-2019-8679: Jihui Lu di Tencent KeenLab
CVE-2019-8680: Jihui Lu di Tencent KeenLab
CVE-2019-8681: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8683: lokihardt di Google Project Zero
CVE-2019-8684: lokihardt di Google Project Zero
CVE-2019-8685: akayn, Dongzhuo Zhao in collaborazione con ADLab di Venustech, Ken Wong (@wwkenwong) di VXRL, Anthony Lai (@darkfloyd1014) di VXRL ed Eric Lung (@Khlung1) di VXRL
CVE-2019-8686: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8687: Apple
CVE-2019-8688: Insu Yun di SSLab del Georgia Tech
CVE-2019-8689: lokihardt di Google Project Zero
Altri riconoscimenti
Game Center
Ringraziamo Min (Spark) Zheng and Xiaolong Bai di Alibaba Inc. per l'assistenza.
MobileInstallation
Ringraziamo Dany Lisiansky (@DanyL931) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.