Apie „tvOS 13.3“ saugos turinį

Šiame dokumente aprašomas „tvOS 13.3“ saugos turinys.

Apie „Apple“ saugos naujinius

Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikiami puslapyje „Apple“ saugos naujiniai.

Kai įmanoma, „Apple“ saugos dokumentuose nurodomi pažeidžiamumai pagal CVE-ID.

Norėdami gauti daugiau informacijos apie saugą, žr. puslapį „Apple“ produktų sauga.

„tvOS 13.3“

CFNetwork

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Poveikis: privilegijuotoje tinklo padėtyje esantis įsilaužėlis gali apeiti HSTS, skirtą ribotam konkrečių aukščiausio lygio domenų skaičiui, kurie nebuvo įkelti į HSTS išankstinį sąrašą

Aprašas: konfigūravimo problema išspręsta naudojant papildomus apribojimus.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork Proxies

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Poveikis: programa gali turėti galimybę gauti didesnes privilegijas

Aprašas: ši problema išspręsta patobulinus tikrinimo procesus.

CVE-2019-8848: Zhuo Liang iš „Qihoo 360 Vulcan“ komandos

FaceTime

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Poveikis: kenkėjiško vaizdo įrašo apdorojimas per „FaceTime“ gali lemti savavališką kodo vykdymą

Aprašas: skaitymo už ribų problema išspręsta naudojant patobulintą įvesties patvirtinimą.

CVE-2019-8830: natashenka iš „Google Project Zero“

Kernel

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas

Aprašas: atminties sugadinimo problema išspręsta pašalinus pažeidžiamą kodą.

CVE-2019-8833: Ian Beer iš „Google Project Zero“

Kernel

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8828: Cim Stordal iš „Cognite“

CVE-2019-8838: Dr. Silvio Cesare iš „InfoSect“

libexpat

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Poveikis: kenkėjiškai sukurto XML failo analizė gali atskleisti naudotojo informaciją

Aprašas: ši problema išspręsta atnaujinus į „expat“ 2.2.8 versiją.

CVE-2019-15903: Joonun Jang

libpcap

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Poveikis: kelios „libpcap“ problemos

Aprašas: kelios problemos išspręstos atnaujinus į „libpcap“ 1.9.1 versiją.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Security

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8832: Insu Yun iš „SSLab“ („Georgia Tech“)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: lankantis kenkimo tikslais sukurtoje svetainėje gali būti atskleistos svetainės, kuriose lankėsi naudotojas

Aprašas: apdorojant saugyklos prieigos API kildavo su informacijos atskleidimu susijusi problema. Ši problema išspręsta patobulinus logiką.

CVE-2019-8898: Michael Kleber („Google“)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas

Aprašas: kelios sugadintos atminties problemos buvo išspręstos patobulinus atminties valdymą.

CVE-2019-8835: anonimas, dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“, „Mike Zhang“ („Pangu“ komanda)

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas

Aprašas: atlaisvintos atminties naudojimo problema išspręsta patobulinus atminties valdymo procesą.

CVE-2019-8846: Marcin Towalski („Cisco Talos“)

Papildomos padėkos

Core Data

Norime pareikšti padėką natashenka iš „Google Project Zero“ už jos pagalbą.