Par tvOS 13.3 drošības saturu

Šajā dokumentā ir aprakstīts tvOS 13.3 drošības saturs.

Par Apple drošības atjauninājumiem

Lai aizsargātu savus klientus, Apple neizpauž, neapspriež un neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.

Apple drošības dokumentos ievainojamības ir norādītas ar CVE-ID, ja tas ir iespējams.

Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.

tvOS 13.3

CFNetwork

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: uzbrucējs privileģētā tīkla pozīcijā, iespējams, var apiet HSTS ierobežotam skaitam konkrētu augšējā līmeņa domēnu, kas agrāk nebija iekļauti HSTS iepriekšējās ielādes sarakstā.

Apraksts: konfigurācijas problēma novērsta, ieviešot papildu ierobežojumus.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork Proxies

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var iegūt paaugstinātas privilēģijas.

Apraksts: problēma tika novērsta, uzlabojot pārbaudes.

CVE-2019-8848: Zhuo Liang no Qihoo 360 Vulcan komandas

FaceTime

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīga videoklipa apstrāde, izmantojot FaceTime, var izraisīt patvaļīga koda izpildi.

Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot ievades validāciju.

CVE-2019-8830: natashenka no Google Project Zero komandas

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.

Apraksts: atmiņas bojājumu problēma novērsta, noņemot neaizsargāto kodu.

CVE-2019-8833: Ian Beer no Google Project Zero komandas

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8828: Cim Stordal no Cognite

CVE-2019-8838: Dr. Silvio Cesare no InfoSect

libexpat

Pieejamība: Apple TV 4K un Apple TV HD

Iedarbība: ļaunprātīgi izstrādāta XML faila parsēšana var izraisīt lietotāja informācijas atklāšanu.

Apraksts: šī problēma tika novērsta, atjauninot uz expat versiju 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: vairākas libpcap problēmas.

Apraksts: vairākas problēmas tika novērstas, atjauninot uz libpcap versiju 1.9.1.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Security

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām.

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8832: Insu Yun no Georgia Tech SSLab

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidotas tīmekļa vietnes apmeklēšana var atklāt informāciju par lietotāja apmeklētajām vietnēm.

Apraksts: konstatēta ar informācijas atklāšanu saistīta problēma darbā ar Storage Access API. Problēma novērsta, uzlabojot loģiku.

CVE-2019-8898: Michael Kleber no Google

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.

Apraksts: vairāku atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8835: anonīms darbs ar Trend Micro Zero Day Initiative, Mike Zhang no Pangu komandas

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.

Apraksts: problēma “lietošana pēc atbrīvošanas” tika novērsta, uzlabojot atmiņas pārvaldību.

CVE-2019-8846: Marcin Towalski no Cisco Talos

Papildu atzinība

Core Data

Vēlamies izteikt atzinību natashenka no Google Project Zero komandas par sniegto palīdzību.