Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
tvOS 13
Wydano 24 września 2019 r.
AppleFirmwareUpdateKext
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Wpis dodano 29 października 2019 r.
Dźwięk
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8706: Yu Zhou z Ant-financial Light-Year Security Lab
Wpis dodano 29 października 2019 r.
Dźwięk
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może spowodować ujawnienie zastrzeżonej pamięci.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8850: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 4 grudnia 2019 r.
CFNetwork
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8753: Łukasz Pilorz ze Standard Chartered GBS Poland
Wpis dodano 29 października 2019 r.
CoreAudio
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: odtworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8592: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 6 listopada 2019 r.
CoreCrypto
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie dużej ilości danych wejściowych mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8741: Nicky Mouha z NIST
Wpis dodano 29 października 2019 r.
CoreAudio
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetwarzanie złośliwie spreparowanego pliku może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2019-8705: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 8 października 2019 r.
Foundation
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8746: natashenka i Samuel Groß z Google Project Zero
Wpis dodano 29 października 2019 r.
IOUSBDeviceFamily
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8718: Joshua Hill i Sem Voigtländer
Wpis dodano 29 października 2019 r.
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2019-8703: anonimowy badacz
Wpis dodano 16 marca 2021 r.
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Wpis dodano 29 października 2019 r.
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja lokalna może być w stanie odczytać trwały identyfikator konta.
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2019-8809: Apple
Wpis dodano 29 października 2019 r.
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Wpis dodano 29 października 2019 r.
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: w procedurze obsługi pakietów IPv6 występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.
CVE-2019-8744: Zhuo Liang z Qihoo 360 Vulcan Team
Wpis dodano 29 października 2019 r.
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Wpis dodano 29 października 2019 r.
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8717: Jann Horn z Google Project Zero
Wpis dodano 8 października 2019 r.
Jądro
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.
CVE-2019-8780: Siguza
Wpis dodano 8 października 2019 r.
Klawiatury
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.
Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) z SAINTSEC
libxml2
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: wiele błędów w bibliotece libxml2.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8749: wykryte przez OSS-Fuzz
CVE-2019-8756: wykryte przez OSS-Fuzz
Wpis dodano 8 października 2019 r.
libxslt
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: liczne błędy w bibliotece libxslt.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8750: wykryte przez OSS-Fuzz
Wpis dodano 29 października 2019 r.
mDNSResponder
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: osoba atakująca znajdująca się w bliskiej odległości może być w stanie pasywnie obserwować nazwy urządzeń w komunikacji AWDL
Opis: ten błąd naprawiono przez zastąpienie nazw urządzeń losowymi identyfikatorami.
CVE-2019-8799: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Wpis dodano 29 października 2019 r.
UIFoundation
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8745: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 8 października 2019 r.
UIFoundation
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8831: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 18 listopada 2019 r.
WebKit
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8625: Sergei Glazunov z Google Project Zero
CVE-2019-8719: Sergei Glazunov z Google Project Zero
CVE-2019-8764: Sergei Glazunov z Google Project Zero
Wpis dodano 8 października 2019 r., zaktualizowano 29 października 2019 r.
WebKit
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8707: anonimowy badacz w ramach programu Zero Day Initiative firmy Trend Micro, cc w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8710: wykryte przez OSS-Fuzz
CVE-2019-8726: Jihui Lu z Tencent KeenLab
CVE-2019-8728: Junho Jang z LINE Security Team i Hanul Choi z ABLY Corporation
CVE-2019-8733: Sergei Glazunov z Google Project Zero
CVE-2019-8734: wykryte przez OSS-Fuzz
CVE-2019-8735: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8743: zhunki z Codesafe Team, Legendsec w Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao we współpracy z ADLab z firmy Venustech
CVE-2019-8752: Dongzhuo Zhao we współpracy z ADLab z firmy Venustech
CVE-2019-8763: Sergei Glazunov z Google Project Zero
CVE-2019-8765: Samuel Groß z Google Project Zero
CVE-2019-8766: wykryte przez OSS-Fuzz
CVE-2019-8773: wykryte przez OSS-Fuzz
Wpis dodano 8 października 2019 r., zaktualizowano 29 października 2019 r.
WebKit
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2019-8762: Sergei Glazunov z Google Project Zero
Wpis dodano 18 listopada 2019 r.
WebKit
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2020-9932: Dongzhuo Zhao we współpracy z ADLab of Venustech
Wpis dodano 28 lipca 2020 r.
Wi-Fi
Dostępne dla: urządzeń Apple TV 4K i Apple TV HD
Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.
Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.
CVE-2019-8854: Ta-Lun Yen z UCCU Hacker i FuriousMacTeam z United States Naval Academy oraz Mitre Cooperation
Wpis dodano 4 grudnia 2019 r.
Dodatkowe podziękowania
Dźwięk
Dziękujemy za udzieloną pomoc: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro.
Wpis dodano 29 października 2019 r.
boringssl
Dziękujemy za udzieloną pomoc: Nimrod Aviram z Tel Aviv University, Robert Merget z Ruhr University Bochum, Juraj Somorovsky z Ruhr University Bochum, Thijs Alkemade (@xnyhps) z Computest.
Wpis dodano 8 października 2019 r., zaktualizowano 29 października 2019 r.
HomeKit
Dziękujemy za udzieloną pomoc: Tian Zhang.
Wpis dodano 29 października 2019 r.
Jądro
Dziękujemy za udzieloną pomoc: Brandon Azad, Vlad Tsyrklevich z Google Project Zero.
Wpis uaktualniono 28 lipca 2020 r.
Klawiatura
Dziękujemy za udzieloną pomoc: Sara Haradhvala z Harlen Web Consulting, anonimowy badacz.
Wpis uaktualniono 28 lipca 2020 r.
mDNSResponder
Dziękujemy za udzieloną pomoc: Gregor Lang z e.solutions GmbH.
Wpis dodano 29 października 2019 r.
Profile
Dziękujemy za udzieloną pomoc: Erik Johnson z Vernon Hills High School, James Seeley (@Code4iOS) z Shriver Job Corps, James Seeley (@Code4iOS) z Shriver Job Corps.
Wpis uaktualniono 29 października 2019 r.
WebKit
Dziękujemy za udzieloną pomoc: MinJeong Kim z, Chungnam National University, JaeCheol Ryou z Information Security Lab, Chungnam National University w Korei Południowej, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao z DBAPPSecurity Zion Lab, anonimowy badacz, cc w ramach programu Zero Day Initiative firmy Trend Micro.
Wpis dodano 8 października 2019 r., zaktualizowano 29 października 2019 r.