O varnostni vsebini sistema tvOS 13.3

Ta dokument opisuje varnostno vsebino sistem tvOS 13.3.

O varnostnih posodobitvah družbe Apple

Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.

Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.

Za več informacij o varnosti obišči stran Varnost izdelkov Apple.

tvOS 13.3

Izdan 10. decembra 2019

CFNetwork

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: napadalec s pravicami za prednostni dostop v omrežju morda lahko obide HSTS za omejeno število domen najvišje ravni, ki v preteklosti niso bile na seznamu za vnaprejšnje nalaganje HSTS

Opis: odpravljena je težava s konfiguracijo, in sicer z dodatnimi omejitvami.

CVE-2019-8834: Rob Sayre (@sayrer)

Vnos je bil dodan 4. aprila 2020

Posredniški strežniki CFNetwork

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko pridobi skrbniške pravice

Opis: ta težava je odpravljena z izboljšanimi pregledi.

CVE-2019-8848: Zhuo Liang iz ekipe podjetja Qihoo 360 Vulcan

FaceTime

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: obdelava zlonamernega videoposnetka v aplikaciji FaceTime lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.

CVE-2019-8830: Natalie Silvanovich iz podjetja Google Project Zero

IOUSBDeviceFamily

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8836: Xiaolong Bai in Min (Spark) Zheng iz podjetja Alibaba Inc. ter Luyi Xing z univerze Indiana University Bloomington

Jedro

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s pomnilnikom, in sicer z odstranitvijo ranljive kode.

CVE-2019-8833: Ian Beer iz podjetja Google Project Zero

Jedro

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8828: Cim Stordal iz podjetja Cognite

CVE-2019-8838: Dr Silvio Cesare iz podjetja InfoSect

libexpat

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: razčlenitev zlonamerno ustvarjene datoteke XML lahko povzroči razkritje podatkov uporabnika

Opis: ta težava je odpravljena s posodobitvijo knjižnice expat na različico 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: več težav v knjižnici libpcap

Opis: odpravljenih je več težav s posodobitvijo knjižnice libpcap na različico 1.9.1.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Vnos je bil dodan 6. aprila 2020

Varnost

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8832: Insu Yun iz skupine SSLab na inštitutu Georgia Tech

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: pri obisku zlonamerno ustvarjenega spletnega mesta so lahko razkrita spletna mesta, ki jih je uporabnik obiskal

Opis: pri obdelavi vmesnika API dostopa do shrambe je prihajalo do težave, povezane z razkritjem podatkov. Ta težava je bila odpravljena z izboljšano logiko.

CVE-2019-8898: Michael Kleber iz Googla

Vnos je bil dodan 11. februarja 2020 in posodobljen 20. februarja 2020

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8835: anonimno sodelovanje v okviru programa Trend Micro's Zero Day Initiative, Mike Zhang iz skupine Pangu Team

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Na voljo za: Apple TV 4K in Apple TV HD

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava z uporabo po poteku brezplačne različice, in sicer z izboljšanim upravljanjem pomnilnika.

CVE-2019-8846: Marcin Towalski iz podjetja Cisco Talos

Dodatne zahvale

Osnovni podatki

Za pomoč se zahvaljujemo Natalie Silvanovich iz podjetja Google Project Zero.

Informacije o izdelkih, ki jih ni izdelala družba Apple, ali neodvisna spletna mesta, ki jih družba Apple ne nadzoruje ali preizkuša, so na voljo brez priporočil ali podpore. Družba Apple ne prevzema nobene odgovornosti glede izbora, delovanja ali uporabe spletnih mest ali izdelkov tretjih oseb. Družba Apple ne jamči za natančnost ali zanesljivost spletnih mest tretjih oseb. Obrni se na dobavitelja, če želiš dodatne infromacije.

Datum objave: