Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 13.3
Dátum vydania: 10. decembra 2019
CFNetwork
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS v prípade obmedzeného počtu konkrétnych domén najvyššej úrovne, ktoré predtým neboli v zozname predbežného načítavania HSTS
Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2019-8834: Rob Sayre (@sayrer)
Dátum pridania záznamu: 4. apríla 2020
Servery proxy CFNetwork
K dispozícii pre: Apple TV 4K a Apple TV HD
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8848: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
FaceTime
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8830: Natalie Silvanovich z tímu Google Project Zero
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8833: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8828: Cim Stordal zo spoločnosti Cognite
CVE-2019-8838: Dr. Silvio Cesare zo spoločnosti InfoSect
libexpat
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch
Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Viacero problémov v súčasti libpcap
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti libpcap na verziu 1.9.1
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Dátum pridania záznamu: 6. apríla 2020
Zabezpečenie
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dopad: Pri návšteve webovej stránky so škodlivým kódom môže dôjsť k odhaleniu stránok navštívených používateľom
Popis: Pri spracovávaní rozhrania Storage Access API dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením logiky.
CVE-2019-8898: Michael Kleber zo spoločnosti Google
Dátum pridania záznamu: 11. februára 2020, dátum aktualizovania: 20. februára 2020
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-8835: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Mike Zhang z tímu Pangu Team
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
K dispozícii pre: Apple TV 4K a Apple TV HD
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8846: Marcin Towalski zo spoločnosti Cisco Talos
Ďalšie poďakovanie
Core Data
Poďakovanie za pomoc si zaslúži Natalie Silvanovich z tímu Google Project Zero.