Informazioni sui contenuti di sicurezza di tvOS 12.2

In questo documento vengono descritti i contenuti di sicurezza di tvOS 12.2

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple.

tvOS 12.2

Rilasciato il 25 marzo 2019

802.1X

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di intercettare il traffico di rete.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-6203: Dominic White di SensePost (@singe)

Voce aggiunta il 15 aprile 2019

CFString

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di una stringa dannosa può causare un'interruzione del servizio.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8516: SWIPS Team di Frifee Inc.

configd

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

CoreCrypto

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8542: un ricercatore anonimo

file

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di un file dannoso potrebbe divulgare informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-8906: Francisco Alonso

Voce aggiornata il 15 aprile 2019

Foundation

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore convalida dell'input.

CVE-2019-7286: un ricercatore anonimo, Clement Lecigne di Google Threat Analysis Group, Ian Beer di Google Project Zero e Samuel Groß di Google Project Zero

GeoServices

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: facendo clic su un link SMS pericoloso si potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8553: un ricercatore anonimo

iAP

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8542: un ricercatore anonimo

IOHIDFamily

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8545: Adam Donenfeld (@doadam) di Zimperium zLabs Team

Kernel

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2019-8527: Ned Williamson di Google e derrek (@derrekr6)

Kernel

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) di Qihoo 360 Vulcan Team

Voce aggiunta il 3 aprile 2019

Kernel

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8540: Weibo Wang (@ma1fan) di Qihoo 360 Nirvan Team

Kernel

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8514: Samuel Groß di Google Project Zero

Kernel

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un utente locale può essere in grado di leggere la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-7293: Ned Williamson di Google

Kernel

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-6207: Weibo Wang di Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser di Antid0te UG

Gestione dell'energia

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: si verificavano diversi problemi di convalida di input nei codici generati da MIG. Questi problemi sono stati risolti con una migliore convalida.

CVE-2019-8549: Mohamed Ghannam (@_simo36) di SSD Secure Disclosure (ssd-disclosure.com)

Siri

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione dannosa può causare l'avvio di una richiesta di dettatura senza l'autorizzazione dell'utente.

Descrizione: si verificava un problema dell'API nella gestione delle richieste di dettatura. Il problema è stato risolto attraverso una migliore convalida.

CVE-2019-8502: Luke Deshotels della North Carolina State University, Jordan Beichler della North Carolina State University, William Enck della North Carolina State University, Costin Carabaş della University POLITEHNICA di Bucarest e Răzvan Deaconescu della University POLITEHNICA di Bucharest

TrueTypeScaler

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-8517: riusksk di VulWar Corp che collabora con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8535: Zhiyang Zeng (@Wester) di Tencent Blade Team

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-6201: dwfault in collaborazione con ADLab di Venustech

CVE-2019-8518: Samuel Groß di Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8558: Samuel Groß di Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un processo in sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8562: Wen Xu di SSLab presso il Georgia Tech e Hanqing Zhao di Chaitin Security Research Lab

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può divulgare informazioni sensibili dell'utente.

Descrizione: si verificava un problema multiorigine nell'API di recupero. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8536: Apple

CVE-2019-8544: un ricercatore anonimo

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-7285: dwfault in collaborazione con ADLab di Venustech

CVE-2019-8556: Apple

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8506: Samuel Groß di Google Project Zero

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un sito web dannoso può consentire l'esecuzione di script nel contesto di un altro sito web.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2019-8503: Linus Särud di Detectify

WebKit

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione della memoria dei processi.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-7292: Zhunki e Zhiyi Zhang di 360 ESG Codesafe Team

XPC

Disponibile per: Apple TV 4K e Apple TV HD precedentemente note come Apple TV (4a generazione)

Impatto: un'applicazione dannosa può sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8530: CodeColorist di Ant-Financial LightYear Labs

Altri riconoscimenti

Kernel

Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.

Safari

Ringraziamo Nikhil Mittal (@c0d3G33k) di Payatu Labs (payatu.com) per l'assistenza.

WebKit

Ringraziamo Andrey Kovalev di Yandex Security Team per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: