Om sikkerhetsinnholdet i tvOS 13.3

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 13.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter med CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

tvOS 13.3

CFNetwork

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: En angriper med i en privilegert nettverksposisjon kan være i stand til å omgå HSTS for et begrenset antall spesifikke toppnivådomener som tidligere ikke har vært på listen for HSTS-forhåndsinnlasting

Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork Proxies

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan være i stand til å få utvidede rettigheter

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2019-8848: Zhuo Liang fra Qihoo 360 Vulcan Team

FaceTime

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig video via FaceTime kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8830: natashenka fra Google Project Zero

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom fjerning av den sårbare koden.

CVE-2019-8833: Ian Beer fra Google Project Zero

Kernel

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8828: Cim Stordal fra Cognite

CVE-2019-8838: Dr. Silvio Cesare fra InfoSect

libexpat

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Parsing av en skadelig XML-fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Problemet ble løst ved å oppdatere til expat-versjon 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Flere problemer i libpcap

Beskrivelse: Flere problemer ble løst ved å oppdatere til libpcap versjon 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Security

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8832: Insu Yun fra SSLab ved Georgia Tech

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Besøk på et skadelig nettsted kan avsløre nettstedene brukeren har besøkt

Beskrivelse: Det var et problem med avdekking av informasjon i håndteringen av Storage Access API. Dette problemet ble løst med forbedret logikk.

CVE-2019-8898: Michael Kleber fra Google

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8835: anonym i samarbeid med Trend Micros Zero Day Initiative og Mike Zhang fra Pangu Team

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Tilgjengelig for Apple TV 4K og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2019-8846: Marcin Towalski fra Cisco Talos

Ytterligere anerkjennelser

Core Data

Vi vil gjerne takke natashenka fra Google Project Zero for hjelpen.