Zawartość związana z zabezpieczeniami w systemie tvOS 12.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 12.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

tvOS 12.3

Wydano 13 maja 2019 r.

AppleFileConduit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

CoreAudio

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8585: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro

Obrazy dysków

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2019-8560: Nikita Pupyshev z Bauman Moscow State Technological University

Wpis uaktualniono 30 maja 2019 r.

Jądro

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-8605: Ned Williamson w ramach programu Google Project Zero

Jądro

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8576: Brandon Azad z Google Project Zero, Junho Jang i Hanul Choi z LINE Security Team

Wpis uaktualniono 30 maja 2019 r.

Jądro

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2019-8591: Ned Williamson w ramach programu Google Project Zero

MobileInstallation

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

SQLite

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.

CVE-2019-8577: Omer Gull z firmy Checkpoint Research

SQLite

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8600: Omer Gull z firmy Checkpoint Research

SQLite

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8598: Omer Gull z firmy Checkpoint Research

SQLite

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2019-8602: Omer Gull z firmy Checkpoint Research

sysdiagnose

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) z firmy Seekintoo (@seekintoo)

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8607: Junho Jang and Hanul Choi z grupy Security Team firmy LINE

WebKit

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6237: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro, Liu Long z Qihoo 360 Vulcan Team

CVE-2019-8571: 01 w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8583: sakura z grupy Tencent Xuanwu Lab, jessica (@babyjess1ca_) z grupy Tencent Keen Lab, dwfault z grupy ADLab firmy Venustech

CVE-2019-8584: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8586: anonimowy badacz

CVE-2019-8587: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8594: Suyoung Lee i Sooel Son z firmy KAIST Web Security & Privacy Lab, HyungSeok Han i Sang Kil Cha z grupy SoftSec Lab firmy KAIST

CVE-2019-8595: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8596: Wen Xu z grupy SSLab uczelni Georgia Tech

CVE-2019-8597: 01 w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8601: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8608: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8609: Wen Xu z grupy SSLab uczelni Georgia Tech

CVE-2019-8610: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8611: Samuel Groß z Google Project Zero

CVE-2019-8615: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8619: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß z Google Project Zero

CVE-2019-8623: Samuel Groß z Google Project Zero

CVE-2019-8628: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab

Wi-Fi

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt

Wpis dodano 30 maja 2019 r.

Wi-Fi

Dostępne dla: urządzeń Apple TV 4K i Apple TV HD

Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.

Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.

CVE-2019-8620: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt

Dodatkowe podziękowania

CoreFoundation

Dziękujemy za udzieloną pomoc: Vozzie oraz Rami i m4bln, Xiangqian Zhang, Huiming Liu z Xuanwu Lab firmy Tencent.

Jądro

Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero, anonimowy badacz.

MediaLibrary

Dziękujemy za udzieloną pomoc: Angel Ramirez i Min (Spark) Zheng, Xiaolong Bai z Alibaba Inc.

MobileInstallation

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: