Apie „tvOS 13.3“ saugos turinį
Šiame dokumente aprašomas „tvOS 13.3“ saugos turinys.
Apie „Apple“ saugos naujinius
Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikiami puslapyje „Apple“ saugos naujiniai.
Kai įmanoma, „Apple“ saugos dokumentuose nurodomi pažeidžiamumai pagal CVE-ID.
Norėdami gauti daugiau informacijos apie saugą, žr. puslapį „Apple“ produktų sauga.
„tvOS 13.3“
Išleista 2019 m. gruodžio 10 d.
CFNetwork
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Poveikis: privilegijuotoje tinklo padėtyje esantis įsilaužėlis gali apeiti HSTS, skirtą ribotam konkrečių aukščiausio lygio domenų skaičiui, kurie nebuvo įkelti į HSTS išankstinį sąrašą
Aprašas: konfigūravimo problema išspręsta naudojant papildomus apribojimus.
CVE-2019-8834: Rob Sayre (@sayrer)
Įrašas pridėtas 2020 m. balandžio 4 d.
CFNetwork Proxies
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Poveikis: programa gali turėti galimybę gauti didesnes privilegijas
Aprašas: ši problema išspręsta patobulinus tikrinimo procesus.
CVE-2019-8848: Zhuo Liang iš „Qihoo 360 Vulcan“ komandos
FaceTime
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Poveikis: kenkėjiško vaizdo įrašo apdorojimas per „FaceTime“ gali lemti savavališką kodo vykdymą
Aprašas: skaitymo už ribų problema išspręsta naudojant patobulintą įvesties patvirtinimą.
CVE-2019-8830: natashenka iš „Google Project Zero“
Kernel
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas
Aprašas: atminties sugadinimo problema išspręsta pašalinus pažeidžiamą kodą.
CVE-2019-8833: Ian Beer iš „Google Project Zero“
Kernel
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8828: Cim Stordal iš „Cognite“
CVE-2019-8838: Dr. Silvio Cesare iš „InfoSect“
libexpat
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Poveikis: kenkėjiškai sukurto XML failo analizė gali atskleisti naudotojo informaciją
Aprašas: ši problema išspręsta atnaujinus į „expat“ 2.2.8 versiją.
CVE-2019-15903: Joonun Jang
libpcap
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Poveikis: kelios „libpcap“ problemos
Aprašas: kelios problemos išspręstos atnaujinus į „libpcap“ 1.9.1 versiją.
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Įrašas įtrauktas 2020 m. balandžio 6 d.
Security
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8832: Insu Yun iš „SSLab“ („Georgia Tech“)
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: lankantis kenkimo tikslais sukurtoje svetainėje gali būti atskleistos svetainės, kuriose lankėsi naudotojas
Aprašas: apdorojant saugyklos prieigos API kildavo su informacijos atskleidimu susijusi problema. Ši problema išspręsta patobulinus logiką.
CVE-2019-8898: Michael Kleber („Google“)
Įrašas įtrauktas 2020 m. vasario 11 d., atnaujintas 2020 m. vasario 20 d.
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas
Aprašas: kelios sugadintos atminties problemos buvo išspręstos patobulinus atminties valdymą.
CVE-2019-8835: anonimas, dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“, „Mike Zhang“ („Pangu“ komanda)
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Taikoma: „Apple TV 4K“ ir „Apple TV HD“
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas
Aprašas: atlaisvintos atminties naudojimo problema išspręsta patobulinus atminties valdymo procesą.
CVE-2019-8846: Marcin Towalski („Cisco Talos“)
Papildomos padėkos
Core Data
Norime pareikšti padėką natashenka iš „Google Project Zero“ už jos pagalbą.
Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. kreipkitės į tiekėją.