Obsah zabezpečenia v systéme tvOS 12.3
V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 12.3.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.
tvOS 12.3
AppleFileConduit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
Bluetooth
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: V dôsledku chybnej konfigurácie v protokoloch párovania Bluetooth vo verzii BLE (Bluetooth Low Energy) modulu FIDO Security Keys bolo možné, aby útočník vo fyzickej blízkosti zaznamenával prenosy cez Bluetooth počas párovania
Popis: Tento problém bol vyriešený zakázaním príslušenstva s nezabezpečenými spojeniami cez Bluetooth. Zákazníci, ktorí používajú verziu BLE (Bluetooth Low Energy) modulu Titan Security Key od spoločnosti Google, by si mali preštudovať júnové bulletiny k systému Android a odporúčania spoločnosti Google a vykonať príslušné kroky.
CVE-2019-2102: Matt Beaver a Erik Peterson zo spoločnosti Microsoft Corp.
CoreAudio
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.
CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreAudio
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru filmu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8585: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreText
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8582: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Obrazy disku
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8560: Nikita Pupyšev z Moskovskej štátnej technologickej univerzity N. E. Baumana
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8633: Zhuo Liang z tímu Qihoo 360 Vulcan Team
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8576: Brandon Azad z tímu Google Project Zero, Junho Jang a Hanul Choi z tímu LINE Security Team
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8591: Ned Williamson v spolupráci s tímom Google Project Zero
Správy
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Používatelia odstránení z konverzácie iMessage môžu aj naďalej byť schopní upraviť stav
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8631: Jamie Bishop z tímu Dynastic
MobileInstallation
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8577: Omer Gull zo spoločnosti Checkpoint Research
SQLite
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8600: Omer Gull zo spoločnosti Checkpoint Research
SQLite
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research
SQLite
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8602: Omer Gull zo spoločnosti Checkpoint Research
sysdiagnose
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8607: Junho Jang a Hanul Choi z tímu LINE Security Team
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6237: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Liu Long z tímu Qihoo 360 Vulcan Team
CVE-2019-8571: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8583: sakura z tímu Xuanwu Lab spoločnosti Tencent, jessica (@babyjess1ca_) z tímu Keen Lab spoločnosti Tencent a dwfault v spolupráci s tímom ADLab spoločnosti Venustech
CVE-2019-8584: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8586: Anonymný výskumník
CVE-2019-8587: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8594: Suyoung Lee a Sooel Son z tímu Web Security & Privacy Lab spoločnosti KAIST a HyungSeok Han a Sang Kil Cha z tímu SoftSec Lab spoločnosti KAIST
CVE-2019-8595: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8596: Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2019-8597: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8601: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8608: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8609: Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2019-8610: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8611: Samuel Groß z tímu Google Project Zero
CVE-2019-8615: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8619: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß z tímu Google Project Zero
CVE-2019-8623: Samuel Groß z tímu Google Project Zero
CVE-2019-8628: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
Wi-Fi
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Útočník s oprávneniami v sieti môže upraviť stav ovládača
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8612: Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Wi-Fi
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti
Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.
CVE-2019-8620: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Ďalšie poďakovanie
CoreAudio
Poďakovanie za pomoc si zaslúži riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
CoreFoundation
Poďakovanie za pomoc si zaslúžia Vozzie a Rami, ako aj m4bln, Xiangqian Zhang a Huiming Liu z tímu Xuanwu Lab spoločnosti Tencent.
Jadro
Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero a anonymný výskumník.
MediaLibrary
Poďakovanie za pomoc si zaslúžia Angel Ramirez a Min (Spark) Zheng, Xiaolong Bai zo spoločnosti Alibaba Inc.
MobileInstallation
Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.