Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 13
Utgitt 24. september 2019
CoreAudio
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig filmfil kan føre til at prosessminne avsløres
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2019-8705: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 8. oktober 2019
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2019-8717: Jann Horn fra Google Project Zero
Oppføring lagt til 8. oktober 2019
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2019-8780: Siguza
Oppføring lagt til 8. oktober 2019
Tastaturer
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) fra SAINTSEC
libxml2
Tilgjengelig for: Apple TV 4K og Apple TV HD
Virkning: Flere problemer i libxml2
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2019-8749: funnet av OSS-Fuzz
CVE-2019-8756: funnet av OSS-Fuzz
Oppføring lagt til 8. oktober 2019
UIFoundation
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2019-8745: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 8. oktober 2019
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2019-8625: Sergei Glazunov fra Google Project Zero
CVE-2019-8719: Sergei Glazunov fra Google Project Zero
Oppføring lagt til 8. oktober 2019
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2019-8707: en anonym forsker i samarbeid med Trend Micros Zero Day Initiative, cc i samarbeid med Trend Micros Zero Day Initiative
CVE-2019-8720: Wen Xu fra SSLab ved Georgia Tech
CVE-2019-8726: Jihui Lu fra Tencent KeenLab
CVE-2019-8733: Sergei Glazunov fra Google Project Zero
CVE-2019-8735: G. Geshev i samarbeid med Trend Micros Zero Day Initiative
CVE-2019-8763: Sergei Glazunov fra Google Project Zero
Oppføring lagt til 8. oktober 2019
Ytterligere anerkjennelse
boringssl
Vi vil gjerne takke Thijs Alkemade (@xnyhps) fra Computest for hjelpen.
Oppføring lagt til 8. oktober 2019
Tastatur
Vi vil gjerne takke en anonym forsker for hjelpen.
Profiler
Vi vil gjerne takke James Seeley (@Code4iOS) fra Shriver Job Corps for hjelpen.
WebKit
Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao fra DBAPPSecurity Zion Lab og en anonym forsker for hjelpen.
Oppføring lagt til 8. oktober 2019