Obsah zabezpečenia v systéme tvOS 12.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 12.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.

tvOS 12.2

Vydané 25. marca 2019

802.1X

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-6203: Dominic White zo spoločnosti SensePost (@singe)

Dátum pridania záznamu: 15. apríla 2019

CFString

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-8516: Tím SWIPS zo spoločnosti Frifee Inc.

configd

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

CoreCrypto

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8542: Anonymný výskumník

File

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8906: Francisco Alonso

Dátum aktualizovania záznamu: 15. apríla 2019

Foundation

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-7286: Anonymný výskumník, Clement Lecigne z tímu Google Threat Analysis Group, Ian Beer z tímu Google Project Zero a Samuel Groß z tímu Google Project Zero

GeoServices

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Kliknutie na odkaz so škodlivým kódom v SMS správe môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8553: Anonymný výskumník

iAP

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8542: Anonymný výskumník

IOHIDFamily

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8545: Adam Donenfeld (@doadam) z tímu Zimperium zLabs

Jadro

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2019-8527: Ned Williamson zo spoločnosti Google a derrek (@derrekr6)

Jadro

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z tímu Qihoo 360 Vulcan

Dátum pridania záznamu: 3. apríla 2019

Jadro

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8540: Weibo Wang (@ma1fan) z tímu Qihoo 360 Nirvan

Jadro

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8514: Samuel Groß z tímu Google Project Zero

Jadro

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-7293: Ned Williamson zo spoločnosti Google

Jadro

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-6207: Weibo Wang z tímu Qihoo 360 Nirvan (@ma1fan)

CVE-2019-8510: Stefan Esser z tímu Antid0te UG

Správa napájania

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: V generovanom kóde MIG dochádzalo k viacerým problémom s overovaním vstupu. Tieto problémy boli vyriešené vylepšením overovania.

CVE-2019-8549: Mohamed Ghannam (@_simo36) zo spoločnosti SSD Secure Disclosure (ssd-disclosure.com)

Siri

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dosah: Aplikácia so škodlivým kódom môže byť schopná inicializovať žiadosť diktovania bez autorizácie používateľa

Popis: Pri spracovávaní žiadostí diktovania dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením overovania adries.

CVE-2019-8502: Luke Deshotels zo Severokarolínskej štátnej univerzity, Jordan Beichler zo Severokarolínskej štátnej univerzity, William Enck zo Severokarolínskej štátnej univerzity, Costin Carabaș z Polytechnickej univerzity v Bukurešti a Răzvan Deaconescu z Polytechnickej univerzity v Bukurešti

TrueTypeScaler

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8517: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8535: Zhiyang Zeng (@Wester) z tímu Tencent Blade Team

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-6201: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech

CVE-2019-8518: Samuel Groß z tímu Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8558: Samuel Groß z tímu Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8562: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: V rozhraní API na načítanie dát dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8536: Apple

CVE-2019-8544: Anonymný výskumník

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-7285: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech

CVE-2019-8556: Apple

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8506: Samuel Groß z tímu Google Project Zero

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Webová stránka so škodlivým kódom môže byť schopná spúšťať skripty v kontexte inej webovej lokality

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8503: Linus Särud zo spoločnosti Detectify

WebKit

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-7292: Zhunki a Zhiyi Zhang z tímu 360 ESG Codesafe

XPC

Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8530: CodeColorist z tímu Ant-Financial LightYear Labs

Ďalšie poďakovanie

Jadro

Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.

Safari

Poďakovanie za pomoc si zaslúži Nikhil Mittal (@c0d3G33k) z tímu Payatu Labs (payatu.com).

WebKit

Poďakovanie za pomoc si zaslúži Andrey Kovalev z tímu Yandex Security Team.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: