Obsah zabezpečenia v systéme tvOS 12.2
V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 12.2.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 12.2
Vydané 25. marca 2019
802.1X
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-6203: Dominic White zo spoločnosti SensePost (@singe)
Dátum pridania záznamu: 15. apríla 2019
CFString
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-8516: Tím SWIPS Team zo spoločnosti Frifee Inc.
configd
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
CoreCrypto
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8542: Anonymný výskumník
file
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8906: Francisco Alonso
Dátum aktualizovania záznamu: 15. apríla 2019
Foundation
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-7286: Anonymný výskumník, Clement Lecigne z tímu Google Threat Analysis Group, Ian Beer z tímu Google Project Zero a Samuel Groß z tímu Google Project Zero
GeoServices
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Kliknutie na odkaz so škodlivým kódom v SMS správe môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8553: Anonymný výskumník
iAP
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8542: Anonymný výskumník
IOHIDFamily
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8545: Adam Donenfeld (@doadam) z tímu Zimperium zLabs Team
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Vzdialený útočník môže byť schopný upraviť údaje o sieťových prenosoch
Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.
CVE-2019-5608: Apple
Dátum pridania záznamu: 6. augusta 2019
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-8547: derrek (@derrekr6)
Dátum pridania záznamu: 30. mája 2019
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8525: Zhuo Liang a shrek_wzw z tímu Qihoo 360 Nirvan Team
Dátum pridania záznamu: 30. mája 2019
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2019-8527: Ned Williamson zo spoločnosti Google a derrek (@derrekr6)
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z tímu Qihoo 360 Vulcan Team
Dátum pridania záznamu: 3. apríla 2019
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8540: Weibo Wang (@ma1fan) z tímu Qihoo 360 Nirvan Team
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8514: Samuel Groß z tímu Google Project Zero
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-7293: Ned Williamson zo spoločnosti Google
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-6207: Weibo Wang z tímu Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser z tímu Antid0te UG
MediaLibrary
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.
CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng a Xiaolong Bai zo spoločnosti Alibaba Inc.
Dátum pridania záznamu: 30. mája 2019
Power Management
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V generovanom kóde MIG dochádzalo k viacerým problémom s overovaním vstupu. Tieto problémy boli vyriešené vylepšením overovania.
CVE-2019-8549: Mohamed Ghannam (@_simo36) zo spoločnosti SSD Secure Disclosure (ssd-disclosure.com)
Sandbox
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8618: Brandon Azad
Dátum pridania záznamu: 30. mája 2019
Security
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Môže sa stať, že systém bude dôverovať nedôveryhodnému certifikátu servera Radius
Popis: V správe entity trust anchor dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.
CVE-2019-8531: Anonymný výskumník, tím QA zo spoločnosti SecureW2
Dátum pridania záznamu: 15. mája 2019
Siri
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná iniciovať žiadosť diktovania bez autorizácie používateľa
Popis: Pri spracovávaní žiadostí diktovania dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením overovania.
CVE-2019-8502: Luke Deshotels zo Severokarolínskej štátnej univerzity, Jordan Beichler zo Severokarolínskej štátnej univerzity, William Enck zo Severokarolínskej štátnej univerzity, Costin Carabaș z Polytechnickej univerzity v Bukurešti a Răzvan Deaconescu z Polytechnickej univerzity v Bukurešti
TrueTypeScaler
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8517: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu spúšťaniu skriptov medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8535: Zhiyang Zeng (@Wester) z tímu Tencent Blade Team
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6201: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech
CVE-2019-8518: Samuel Groß z tímu Google Project Zero
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8558: Samuel Groß z tímu Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: Nájdené programom OSS-Fuzz
CVE-2019-8639: Nájdené programom OSS-Fuzz
Dátum aktualizovania záznamu: 30. mája 2019
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8562: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: V rozhraní API na načítanie dát dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8536: Apple
CVE-2019-8544: Anonymný výskumník
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2019-7285: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech
CVE-2019-8556: Apple
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8506: Samuel Groß z tímu Google Project Zero
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Webová stránka so škodlivým kódom môže byť schopná spúšťať skripty v kontexte inej webovej lokality
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8503: Linus Särud zo spoločnosti Detectify
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-7292: Zhunki a Zhiyi Zhang z tímu 360 ESG Codesafe Team
XPC
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8530: CodeColorist z tímu Ant-Financial LightYear Labs
Ďalšie poďakovanie
Accounts
Poďakovanie za pomoc si zaslúži Milan Stute z laboratória zabezpečených mobilných sietí na Technickej univerzite v Darmstadte.
Dátum pridania záznamu: 30. mája 2019
Kernel
Poďakovanie za pomoc si zaslúžia Brandon Azad z tímu Google Project Zero, Brandon Azad a Raz Mashat (@RazMashat) zo Strednej školy Ilana Ramona.
Dátum aktualizovania záznamu: 30. mája 2019
Safari
Poďakovanie za pomoc si zaslúži Ryan Pickren (ryanpickren.com) a Nikhil Mittal (@c0d3G33k) z tímu Payatu Labs (payatu.com).
Dátum aktualizovania záznamu: 30. mája 2019
WebKit
Poďakovanie za pomoc si zaslúži Andrey Kovalev z tímu Yandex Security Team.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.