Zawartość związana z zabezpieczeniami w systemie tvOS 12.3
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 12.3.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
tvOS 12.3
AppleFileConduit
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
Bluetooth
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: z powodu błędnej konfiguracji protokołów parowania Bluetooth wersji Bluetooth Low Energy (BLE) kluczy bezpieczeństwa FIDO atakujący znajdujący się w bliskiej odległości może być w stanie przechwycić ruch Bluetooth podczas parowania
Opis: rozwiązano problem poprzez wyłączenie akcesoriów z niezabezpieczonymi połączeniami Bluetooth. Klienci korzystający z wersji Bluetooth Low Energy (BLE) klucza bezpieczeństwa Titan firmy Google powinni zapoznać się z czerwcowymi biuletynami systemu Android i zaleceniami Google oraz podjąć odpowiednie działania.
CVE-2019-2102: Matt Beaver i Erik Peterson z Microsoft Corp.
CoreAudio
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.
CVE-2019-8592: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
CoreAudio
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8585: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
CoreText
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8582: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Obrazy dysków
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8560: Nikita Pupyshev z Bauman Moscow State Technological University
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8633: Zhuo Liang z Qihoo 360 Vulcan Team
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8576: Brandon Azad z Google Project Zero, Junho Jang i Hanul Choi z LINE Security Team
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2019-8591: Ned Williamson w ramach programu Google Project Zero
Wiadomości
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: użytkownicy usunięci z rozmowy iMessage mogą być nadal w stanie modyfikować stan.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8631: Jamie Bishop z Dynastic
MobileInstallation
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.
CVE-2019-8577: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8600: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8598: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2019-8602: Omer Gull z firmy Checkpoint Research
sysdiagnose
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) z firmy Seekintoo (@seekintoo)
WebKit
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8607: Junho Jang and Hanul Choi z grupy Security Team firmy LINE
WebKit
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-6237: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro, Liu Long z Qihoo 360 Vulcan Team
CVE-2019-8571: 01 w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8583: sakura z grupy Tencent Xuanwu Lab, jessica (@babyjess1ca_) z grupy Tencent Keen Lab, dwfault z grupy ADLab firmy Venustech
CVE-2019-8584: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8586: anonimowy badacz
CVE-2019-8587: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8594: Suyoung Lee i Sooel Son z firmy KAIST Web Security & Privacy Lab, HyungSeok Han i Sang Kil Cha z grupy SoftSec Lab firmy KAIST
CVE-2019-8595: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8596: Wen Xu z grupy SSLab uczelni Georgia Tech
CVE-2019-8597: 01 w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8601: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8608: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8609: Wen Xu z grupy SSLab uczelni Georgia Tech
CVE-2019-8610: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8611: Samuel Groß z Google Project Zero
CVE-2019-8615: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8619: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß z Google Project Zero
CVE-2019-8623: Samuel Groß z Google Project Zero
CVE-2019-8628: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab
Wi-Fi
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Wi-Fi
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.
Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.
CVE-2019-8620: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Dodatkowe podziękowania
CoreAudio
Dziękujemy za udzieloną pomoc: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro.
CoreFoundation
Dziękujemy za udzieloną pomoc: Vozzie oraz Rami i m4bln, Xiangqian Zhang, Huiming Liu z Xuanwu Lab firmy Tencent.
Jądro
Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero, anonimowy badacz.
MediaLibrary
Dziękujemy za udzieloną pomoc: Angel Ramirez i Min (Spark) Zheng, Xiaolong Bai z Alibaba Inc.
MobileInstallation
Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.