Informazioni sui contenuti di sicurezza di tvOS 13.2
In questo documento vengono descritti i contenuti di sicurezza di tvOS 13.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
tvOS 13.2
Account
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8787: Steffen Klee di Secure Mobile Networking Lab della Technische Universität Darmstadt
App Store
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un utente malintenzionato locale può essere in grado di accedere all'account di un utente connesso in precedenza senza credenziali valide.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
Audio
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8785: Ian Beer di Google Project Zero
CVE-2019-8797: 08Tc3wBB in collaborazione con SSD Secure Disclosure
AVEVideoEncoder
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8795: 08Tc3wBB in collaborazione con SSD Secure Disclosure
Eventi File System
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8798: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8794: 08Tc3wBB in collaborazione con SSD Secure Disclosure
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8786: Wen Xu di Georgia Tech, stagista presso Microsoft Offensive Security Research
Kernel
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.
CVE-2019-8829: Jann Horn di Google Project Zero
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8813: un ricercatore anonimo
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8782: Cheolung Lee di LINE+ Security Team
CVE-2019-8783: Cheolung Lee di LINE+ Graylab Security Team
CVE-2019-8808: rilevato da OSS-Fuzz
CVE-2019-8811: Soyeon Park di SSLab presso Georgia Tech
CVE-2019-8812: JunDong Xie di Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee di LINE+ Security Team
CVE-2019-8816: Soyeon Park di SSLab presso Georgia Tech
CVE-2019-8819: Cheolung Lee di LINE+ Security Team
CVE-2019-8820: Samuel Groß di Google Project Zero
CVE-2019-8821: Sergei Glazunov di Google Project Zero
CVE-2019-8822: Sergei Glazunov di Google Project Zero
CVE-2019-8823: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'accesso a un sito web pericoloso può rivelare i siti visitati da un utente.
Descrizione: l'intestazione di riferimento HTTP potrebbe essere utilizzata per divulgare la cronologia di navigazione. Il problema è stato risolto eseguendo il downgrade di tutti i riferimenti di terze parti alla propria origine.
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum e Roberto Clapis di Google Security Team
Modello di processo WebKit
Disponibile per: Apple TV 4K e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8815: Apple
Altri riconoscimenti
CFNetwork
Ringraziamo Lily Chen di Google per l'assistenza.
Kernel
Ringraziamo Daniel Roethlisberger di Swisscom CSIRT e Jann Horn di Google Project Zero per l'assistenza.
WebKit
Ringraziamo Dlive dello Xuanwu Lab di Tencent e Zhiyi Zhang del Codesafe Team di Legendsec presso Qi'anxin Group per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.