Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.
tvOS 12.2
Vydané 25. marca 2019
802.1X
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-6203: Dominic White zo spoločnosti SensePost (@singe)
Dátum pridania záznamu: 15. apríla 2019
CFString
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-8516: Tím SWIPS Team zo spoločnosti Frifee Inc.
configd
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
CoreCrypto
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8542: Anonymný výskumník
File
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8906: Francisco Alonso
Dátum aktualizovania záznamu: 15. apríla 2019
Foundation
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-7286: Anonymný výskumník, Clement Lecigne z tímu Google Threat Analysis Group, Ian Beer z tímu Google Project Zero a Samuel Groß z tímu Google Project Zero
GeoServices
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Kliknutie na odkaz so škodlivým kódom v SMS správe môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8553: Anonymný výskumník
iAP
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8542: Anonymný výskumník
IOHIDFamily
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8545: Adam Donenfeld (@doadam) z tímu Zimperium zLabs Team
Jadro
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-8547: derrek (@derrekr6)
Dátum pridania záznamu: 30. mája 2019
Jadro
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8525: Zhuo Liang a shrek_wzw z tímu Qihoo 360 Nirvan Team
Dátum pridania záznamu: 30. mája 2019
Jadro
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2019-8527: Ned Williamson zo spoločnosti Google a derrek (@derrekr6)
Jadro
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z tímu Qihoo 360 Vulcan Team
Dátum pridania záznamu: 3. apríla 2019
Jadro
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8540: Weibo Wang (@ma1fan) z tímu Qihoo 360 Nirvan Team
Jadro
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8514: Samuel Groß z tímu Google Project Zero
Jadro
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-7293: Ned Williamson zo spoločnosti Google
Jadro
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-6207: Weibo Wang z tímu Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser z tímu Antid0te UG
MediaLibrary
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k obmedzeným súborom
Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.
CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng a Xiaolong Bai zo spoločnosti Alibaba Inc.
Dátum pridania záznamu: 30. mája 2019
Správa napájania
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V generovanom kóde MIG dochádzalo k viacerým problémom s overovaním vstupu. Tieto problémy boli vyriešené vylepšením overovania.
CVE-2019-8549: Mohamed Ghannam (@_simo36) zo spoločnosti SSD Secure Disclosure (ssd-disclosure.com)
Izolovaný priestor
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8618: Brandon Azad
Dátum pridania záznamu: 30. mája 2019
Zabezpečenie
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Môže sa dôverovať nedôveryhodnému certifikátu servera Radius
Popis: V správe entity trust anchor dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania adries.
CVE-2019-8531: Anonymný výskumník, tím QA zo spoločnosti SecureW2
Dátum pridania záznamu: 15. mája 2019
Siri
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná inicializovať žiadosť diktovania bez autorizácie používateľa
Popis: Pri spracovávaní žiadostí diktovania dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením overovania adries.
CVE-2019-8502: Luke Deshotels zo Severokarolínskej štátnej univerzity, Jordan Beichler zo Severokarolínskej štátnej univerzity, William Enck zo Severokarolínskej štátnej univerzity, Costin Carabaș z Polytechnickej univerzity v Bukurešti a Răzvan Deaconescu z Polytechnickej univerzity v Bukurešti
TrueTypeScaler
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8517: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8535: Zhiyang Zeng (@Wester) z tímu Tencent Blade Team
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6201: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech
CVE-2019-8518: Samuel Groß z tímu Google Project Zero
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8558: Samuel Groß z tímu Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: Nájdené programom OSS-Fuzz
CVE-2019-8639: Nájdené programom OSS-Fuzz
Dátum aktualizovania záznamu: 30. mája 2019
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8562: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: V rozhraní API na načítanie dát dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8536: Apple
CVE-2019-8544: Anonymný výskumník
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-7285: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech
CVE-2019-8556: Apple
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8506: Samuel Groß z tímu Google Project Zero
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Webová stránka so škodlivým kódom môže byť schopná spúšťať skripty v kontexte inej webovej lokality
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8503: Linus Särud zo spoločnosti Detectify
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-7292: Zhunki a Zhiyi Zhang z tímu 360 ESG Codesafe Team
XPC
Dostupné pre: Apple TV 4K a Apple TV HD predtým Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8530: CodeColorist z tímu Ant-Financial LightYear Labs
Ďalšie poďakovanie
Účty
Poďakovanie za pomoc si zaslúži Milan Stute z laboratória zabezpečených mobilných sietí na Technickej univerzite v Darmstadte.
Dátum pridania záznamu: 30. mája 2019
Jadro
Poďakovanie za pomoc si zaslúžia Brandon Azad z tímu Google Project Zero, Brandon Azad a Raz Mashat (@RazMashat) zo Strednej školy Ilana Ramona.
Dátum aktualizovania záznamu: 30. mája 2019
Safari
Poďakovanie za pomoc si zaslúžia Ryan Pickren (ryanpickren.com) a Nikhil Mittal (@c0d3G33k) z tímu Payatu Labs (payatu.com).
Dátum aktualizovania záznamu: 30. mája 2019
WebKit
Poďakovanie za pomoc si zaslúži Andrey Kovalev z tímu Yandex Security Team.