O varnostni vsebini sistema tvOS 13.3

Ta dokument opisuje varnostno vsebino sistema tvOS 13.3.

O varnostnih posodobitvah družbe Apple

Apple zaradi zaščite svojih strank varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.

Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.

Za več informacij o varnosti obišči stran Varnost izdelkov Apple.

tvOS 13.3

CFNetwork

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: napadalec s pravicami za prednostni dostop v omrežju morda lahko obide HSTS za omejeno število domen najvišje ravni, ki v preteklosti niso bile na seznamu za vnaprejšnje nalaganje HSTS.

Opis: odpravljena je težava s konfiguracijo, in sicer z dodatnimi omejitvami.

CVE-2019-8834: Rob Sayre (@sayrer).

CFNetwork Proxies

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: aplikacija morda lahko pridobi skrbniške pravice.

Opis: ta težava je odpravljena z izboljšanimi pregledi.

CVE-2019-8848: Zhuo Liang iz ekipe podjetja Qihoo 360 Vulcan.

FaceTime

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: obdelava zlonamernega videoposnetka v aplikaciji FaceTime lahko povzroči izvedbo poljubne kode.

Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.

CVE-2019-8830: natashenka iz podjetja Google Project Zero.

Kernel

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra.

Opis: odpravljena je težava s pomnilnikom, in sicer z odstranitvijo ranljive kode.

CVE-2019-8833: Ian Beer iz podjetja Google Project Zero.

Kernel

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra.

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8828: Cim Stordal iz podjetja Cognite.

CVE-2019-8838: dr Silvio Cesare iz podjetja InfoSect.

libexpat

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: razčlenitev zlonamerno ustvarjene datoteke XML lahko povzroči razkritje podatkov uporabnika.

Opis: ta težava je odpravljena s posodobitvijo knjižnice expat na različico 2.2.8.

CVE-2019-15903: Joonun Jang.

libpcap

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: več težav v knjižnici libpcap.

Opis: odpravljenih je več težav s posodobitvijo knjižnice libpcap na različico 1.9.1.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Security

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami.

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8832: Insu Yun iz skupine SSLab na inštitutu Georgia Tech.

WebKit

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: pri obisku zlonamerno ustvarjenega spletnega mesta so lahko razkrita spletna mesta, ki jih je uporabnik obiskal.

Opis: pri obdelavi vmesnika API za dostop do shrambe je prihajalo do težave, povezane z razkritjem podatkov. Ta težava je bila odpravljena z izboljšano logiko.

CVE-2019-8898: Michael Kleber iz podjetja Google.

WebKit

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode.

Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8835: anonimno sodelovanje v okviru programa Trend Micro's Zero Day Initiative, Mike Zhang iz skupine Pangu Team.

CVE-2019-8844: William Bowling (@wcbowling).

WebKit

Na voljo za: Apple TV 4K in Apple TV HD.

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode.

Opis: odpravljena je težava z uporabo po poteku brezplačne različice, in sicer z izboljšanim upravljanjem pomnilnika.

CVE-2019-8846: Marcin Towalski iz podjetja Cisco Talos.

Dodatne zahvale

Core Data

Za pomoč se zahvaljujemo natashenki iz podjetja Google Project Zero.