Par tvOS 13.3 drošības saturu

Šajā dokumentā ir aprakstīts tvOS 13.3 drošības saturs.

Par Apple drošības atjauninājumiem

Klientu aizsardzības nolūkos Apple neizpauž, neapspriež vai neapstiprina ar drošību saistītus jautājumus, kamēr nav pabeigta izmeklēšana un nav pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.

Apple drošības dokumentos ievainojamības atsauce ir CVE-ID (ja tas ir iespējams).

Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.

tvOS 13.3

Izlaista 2019. gada 10. decembrī

CFNetwork

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: uzbrucējs privileģētā tīkla pozīcijā, iespējams, var apiet HSTS ierobežotam skaitam konkrētu augšējā līmeņa domēnu, kas agrāk nebija iekļauti HSTS iepriekšējās ielādes sarakstā.

Apraksts: konfigurācijas problēma novērsta, ieviešot papildu ierobežojumus.

CVE-2019-8834: Rob Sayre (@sayrer)

Ieraksts pievienots 2020. gada 4. aprīlī

CFNetwork starpniekserveri

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var iegūt paaugstinātas privilēģijas.

Apraksts: problēma novērsta, uzlabojot pārbaudes.

CVE-2019-8848: Zhuo Liang no Qihoo 360 Vulcan komandas

FaceTime

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīga videoklipa apstrāde, izmantojot FaceTime, var izraisīt patvaļīga koda izpildi.

Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot ievades validāciju.

CVE-2019-8830: Natalie Silvanovich no Google Project Zero komandas

IOUSBDeviceFamily

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8836: Xiaolong Bai un Min (Spark) Zheng no Alibaba Inc. un Luyi Xing no Indiana University Bloomington

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.

Apraksts: atmiņas bojājumu problēma novērsta, noņemot neaizsargāto kodu.

CVE-2019-8833: Ian Beer no Google Project Zero komandas

Kernel

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8828: Cim Stordal no Cognite

CVE-2019-8838: Dr. Silvio Cesare no InfoSect

libexpat

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota XML faila parsēšana var izraisīt lietotāja informācijas atklāšanu.

Apraksts: problēma novērsta, atjauninot uz expat versiju 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: vairākas libpcap problēmas.

Apraksts: vairākas problēmas novērstas, atjauninot uz libpcap versiju 1.9.1.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Ieraksts pievienots 2020. gada 6. aprīlī

Drošība

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām.

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8832: Insu Yun no Georgia Tech SSLab

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidotas tīmekļa vietnes apmeklēšana var atklāt informāciju par lietotāja apmeklētajām vietnēm.

Apraksts: konstatēta ar informācijas atklāšanu saistīta problēma darbā ar Storage Access API. Problēma novērsta, uzlabojot loģiku.

CVE-2019-8898: Michael Kleber no Google

Ieraksts pievienots 2020. gada 11. februārī un atjaunināts 2020. gada 20. februārī

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.

Apraksts: vairākas atmiņas bojājumu problēmas novērstas, uzlabojot atmiņas apstrādi.

CVE-2019-8835: anonīms darbs ar Trend Micro Zero Day Initiative, Mike Zhang no Pangu komandas

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Pieejamība: Apple TV 4K un Apple TV HD

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.

Apraksts: problēma saistībā ar lietošanu pēc atmiņas atbrīvošanas novērsta, uzlabojot atmiņas pārvaldību.

CVE-2019-8846: Marcin Towalski no Cisco Talos

Papildu atzinība

Core Data

Vēlamies izteikt atzinību Natalie Silvanovich no Google Project Zero komandas par sniegto palīdzību.

Informācija par produktiem, kuru ražotājs nav uzņēmums Apple, vai neatkarīgām tīmekļa vietnēm, kuras uzņēmums Apple nekontrolē un nav testējis, ir sniegta bez ieteikumiem un apstiprinājuma. Apple neuzņemas nekādu atbildību par trešo pušu tīmekļa vietņu vai produktu izvēli, darbību vai izmantošanu. Apple nepauž nekādu viedokli attiecībā uz trešo pušu tīmekļa vietņu precizitāti vai uzticamību. Sazinieties ar nodrošinātāju, lai saņemtu papildinformāciju.

Publicēšanas datums: