Apie „tvOS 13.3“ saugos turinį

Šiame dokumente aprašomas „tvOS 13.3“ saugos turinys.

Apie „Apple“ saugos naujinius

Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikti puslapyje „Apple“ saugos naujiniai.

Kur įmanoma, „Apple“ saugos dokumentuose nurodomas pažeidžiamumo CVE-ID.

Daugiau informacijos apie saugą žr. puslapyje „Apple“ produktų sauga.

„tvOS 13.3“

Išleista 2019 m. gruodžio 10 d.

CFNetwork

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: įsilaužėlis, esantis privilegijuotoje tinklo vietoje, gali apeiti HSTS naudodamas ribotą skaičių konkrečių aukščiausiojo lygio domenų, kurie anksčiau nebuvo įtraukti į HSTS išankstinio įkėlimo sąrašą

Aprašas: konfigūracijos problema išspręsta taikant papildomų apribojimų.

CVE-2019-8834: Rob Sayre (@sayrer)

Įrašas įtrauktas 2020 m. balandžio 4 d.

„CFNetwork“ tarpiniai serveriai

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali įgyti aukštesnio lygio teisių

Aprašas: ši problema išspręsta patobulinus tikrinimo procesus.

CVE-2019-8848: Zhuo Liang („Qihoo 360 Vulcan“ komanda)

FaceTime

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą vaizdo įrašą per „FaceTime“ gali būti vykdomas atsitiktinis kodas

Aprašas: ribų nepaisančio skaitymo problema išspręsta patobulinus įvesties duomenų patikros procesą.

CVE-2019-8830: Natalie Silvanovich („Google Project Zero“)

IOUSBDeviceFamily

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8836: Xiaolong Bai ir Min (Spark) Zheng („Alibaba Inc.“), Luyi Xing (Indianos Blumingtono universitetas)

Branduolys

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis

Aprašas: atminties trikties problema išspręsta pašalinus pažeidžiamą kodą.

CVE-2019-8833: Ian Beer („Google Project Zero“)

Branduolys

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8828: Cim Stordal („Cognite“)

CVE-2019-8838: dr. Silvio Cesare („InfoSect“)

libexpat

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: analizuojant kenkimo tikslais sukurtą XML failą gali būti atskleista naudotojo informacija

Aprašas: ši problema išspręsta atnaujinus į 2.2.8 versijos „Expat“.

CVE-2019-15903: Joonun Jang

libpcap

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: kelios su „libpcap“ susijusios problemos

Aprašas: kelios problemos išspręstos atnaujinus į 1.9.1 versijos „libcap“

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Įrašas įtrauktas 2020 m. balandžio 6 d.

Sauga

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8832: Insu Yun (Džordžijos technologijos instituto „SSLab“)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: lankantis kenkimo tikslais sukurtoje svetainėje gali būti atskleistos svetainės, kuriose lankėsi naudotojas

Aprašas: apdorojant saugyklos prieigos API kildavo su informacijos atskleidimu susijusi problema. Ši problema išspręsta patobulinus logiką.

CVE-2019-8898: Michael Kleber („Google“)

Įrašas įtrauktas 2020 m. vasario 11 d., atnaujintas 2020 m. vasario 20 d.

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas

Aprašas: kelios atminties trikties problemos išspręstos patobulinus atminties apdorojimo procesą.

CVE-2019-8835: anonimas, dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“, „Mike Zhang“ („Pangu“ komanda)

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Taikoma: „Apple TV 4K“ ir „Apple TV HD“

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas

Aprašas: atlaisvintos atminties naudojimo problema išspręsta patobulinus atminties valdymo procesą.

CVE-2019-8846: Marcin Towalski („Cisco Talos“)

Papildomos padėkos

Pagrindiniai duomenys

Norime padėkoti Natalie Silvanovich („Google Project Zero“) už pagalbą.

Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. Jei reikia papildomos informacijos, kreipkitės į pardavėją.

Publikavimo data: