Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 13
Dátum vydania: 24. septembra 2019
AppleFirmwareUpdateKext
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Dátum pridania záznamu: 29. októbra 2019
Zvuk
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8706: Yu Zhou zo spoločnosti Ant-Financial Light-Year Security Lab
Dátum pridania záznamu: 29. októbra 2019
Zvuk
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8850: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 4. decembra 2019
CFNetwork
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8753: Łukasz Pilorz zo spoločnosti Standard Chartered GBS Poland
Dátum pridania záznamu: 29. októbra 2019
CoreAudio
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Prehratie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 6. novembra 2019
CoreCrypto
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie veľkého vstupu môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8741: Nicky Mouha z Národného inštitútu pre normy a technológie (NIST)
Dátum pridania záznamu: 29. októbra 2019
CoreAudio
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie súboru filmu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8705: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 8. októbra 2019
Foundation
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8746: Natalie Silvanovich a Samuel Groß z tímu Google Project Zero
Dátum pridania záznamu: 29. októbra 2019
IOUSBDeviceFamily
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8718: Joshua Hill a Sem Voigtländer
Dátum pridania záznamu: 29. októbra 2019
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Dátum pridania záznamu: 29. októbra 2019
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Miestna aplikácia môže byť schopná čítať perzistentný identifikátor účtu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-8809: Apple
Dátum pridania záznamu: 29. októbra 2019
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Dátum pridania záznamu: 29. októbra 2019
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.
CVE-2019-8744: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
Dátum pridania záznamu: 29. októbra 2019
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Dátum pridania záznamu: 29. októbra 2019
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8717: Jann Horn z tímu Google Project Zero
Dátum pridania záznamu: 8. októbra 2019
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2019-8780: Siguza
Dátum pridania záznamu: 8. októbra 2019
Klávesnice
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) zo spoločnosti SAINTSEC
libxml2
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Viacero problémov v knižnici libxml2
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2019-8749: Nájdené programom OSS-Fuzz
CVE-2019-8756: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 8. októbra 2019
libxslt
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Viacero problémov v knižnici libxslt
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2019-8750: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 29. októbra 2019
mDNSResponder
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Útočník vo fyzickej blízkosti môže byť schopný pasívne zisťovať názvy zariadení v rámci komunikácie AWDL
Popis: Tento problém sa odstránil nahradením názvov zariadení náhodným identifikátorom.
CVE-2019-8799: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Dátum pridania záznamu: 29. októbra 2019
UIFoundation
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8745: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 8. októbra 2019
UIFoundation
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8831: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 18. novembra 2019
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8625: Sergei Glazunov z tímu Google Project Zero
CVE-2019-8719: Sergei Glazunov z tímu Google Project Zero
CVE-2019-8764: Sergei Glazunov z tímu Google Project Zero
Dátum pridania záznamu: 8. októbra 2019, dátum aktualizovania: 29. októbra 2019
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-8707: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, cc v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8710: Nájdené programom OSS-Fuzz
CVE-2019-8726: Jihui Lu z tímu KeenLab spoločnosti Tencent
CVE-2019-8728: Junho Jang z tímu LINE Security Team a Hanul Choi zo spoločnosti ABLY Corporation
CVE-2019-8733: Sergei Glazunov z tímu Google Project Zero
CVE-2019-8734: Nájdené programom OSS-Fuzz
CVE-2019-8735: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8743: zhunki z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech
CVE-2019-8752: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech
CVE-2019-8763: Sergei Glazunov z tímu Google Project Zero
CVE-2019-8765: Samuel Groß z tímu Google Project Zero
CVE-2019-8766: Nájdené programom OSS-Fuzz
CVE-2019-8773: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 8. októbra 2019, dátum aktualizovania: 29. októbra 2019
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-8762: Sergei Glazunov z tímu Google Project Zero
Dátum pridania záznamu: 18. novembra 2019
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9932: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech
Dátum pridania záznamu: 28. júla 2020
Wi-Fi
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti
Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.
CVE-2019-8854: Ta-Lun Yen z tímu UCCU Hacker and FuriousMacTeam z akadémie United States Naval Academy a Mitre Cooperation
Dátum pridania záznamu: 4. decembra 2019
Ďalšie poďakovanie
Zvuk
Poďakovanie za pomoc si zaslúži riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
Dátum pridania záznamu: 29. októbra 2019
boringssl
Poďakovanie za pomoc si zaslúžia Nimrod Aviram z Telavivskej univerzity, Robert Merget z Porúrskej univerzity v Bochume, Juraj Somorovsky z Porúrskej univerzity v Bochume a Thijs Alkemade (@xnyhps) zo spoločnosti Computest.
Dátum pridania záznamu: 8. októbra 2019, dátum aktualizovania: 29. októbra 2019
HomeKit
Poďakovanie za pomoc si zaslúži Tian Zhang.
Dátum pridania záznamu: 29. októbra 2019
Jadro
Poďakovanie za pomoc si zaslúžia Brandon Azad z tímu Google Project Zero a Vlad Tsyrklevich.
Dátum aktualizovania záznamu: 28. júla 2020
Klávesnica
Poďakovanie za pomoc si zaslúžia Sara Haradhvala zo spoločnosti Harlen Web Consulting a anonymný výskumník.
Dátum aktualizovania záznamu: 28. júla 2020
mDNSResponder
Poďakovanie za pomoc si zaslúži Gregor Lang zo spoločnosti e.solutions GmbH.
Dátum pridania záznamu: 29. októbra 2019
Profily
Poďakovanie za pomoc si zaslúžia Erik Johnson zo Strednej školy vo Vernon Hills, James Seeley (@Code4iOS) zo spoločnosti Shriver Job Corps a James Seeley (@Code4iOS) zo spoločnosti Shriver Job Corps.
Dátum aktualizovania záznamu: 29. októbra 2019
WebKit
Poďakovanie za pomoc si zaslúžia MinJeong Kim z tímu Information Security Lab na univerzite Chungnam National University, JaeCheol Ryou z tímu Information Security Lab na univerzite Chungnam National University v Južnej Kórei, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao z tímu Zion Lab spoločnosti DBAPPSecurity, anonymný výskumník a cc v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
Dátum pridania záznamu: 8. októbra 2019, dátum aktualizovania: 29. októbra 2019