Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 13.3
Utgitt 10. desember 2019
CFNetwork
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En angriper med en nettverksplassering med rettigheter kan være i stand til å omgå HSTS for et begrenset antall spesifikke toppnivådomener som tidligere ikke har vært på listen for HSTS-forhåndsinnlasting
Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.
CVE-2019-8834: Rob Sayre (@sayrer)
Oppføring lagt til 4. april 2020
CFNetwork-proxyer
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2019-8848: Zhuo Liang fra Qihoo 360 Vulcan Team
FaceTime
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig video via FaceTime kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2019-8830: natashenka fra Google Project Zero
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom fjerning av den sårbare koden.
CVE-2019-8833: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2019-8828: Cim Stordal fra Cognite
CVE-2019-8838: Dr. Silvio Cesare fra InfoSect
libexpat
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Parsing av en skadelig XML-fil kan føre til at brukerinformasjon avsløres
Beskrivelse: Problemet ble løst ved å oppdatere til expat-versjon 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Flere problemer i libpcap
Beskrivelse: Flere problemer ble løst ved å oppdatere til libpcap versjon 1.9.1
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Oppføring lagt til 6. april 2020
Sikkerhet
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2019-8832: Insu Yun fra SSLab ved Georgia Tech
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Besøk på et skadelig nettsted kan avsløre nettstedene brukeren har besøkt
Beskrivelse: Det var et problem med avdekking av informasjon i håndteringen av lagringstilgang-API-et. Dette problemet ble løst med forbedret logikk.
CVE-2019-8898: Michael Kleber fra Google
Oppføring lagt til 11. februar 2020, oppdatert 20. februar 2020
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2019-8835: Anonym i samarbeid med Trend Micros Zero Day Initiative og Mike Zhang fra Pangu Team
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2019-8846: Marcin Towalski fra Cisco Talos
Ytterligere anerkjennelser
Core Data
Vi vil gjerne takke natashenka fra Google Project Zero for hjelpen.