Om säkerhetsinnehållet i tvOS 13.3
I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 13.3.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
tvOS 13.3
Släpptes 10 december 2019
CFNetwork
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En angripare med privilegierad nätverksposition kunde kringgå HSTS för ett begränsat antal specifika överordnade domäner som tidigare inte fanns i den förhämtade HSTS-listan
Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.
CVE-2019-8834: Rob Sayre (@sayrer)
Lades till 4 april 2020
CFNetwork Proxies
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En app kan få högre behörighet
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2019-8848: Zhuo Liang på Qihoo 360 Vulcan Team
FaceTime
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Behandling av skadlig video via FaceTime kan leda till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2019-8830: natashenka på Google Project Zero
Kernel
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.
CVE-2019-8833: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8828: Cim Stordal på Cognite
CVE-2019-8838: Dr. Silvio Cesare på InfoSect
libexpat
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Tolkning av en skadligt XML-fil kan leda till att användarinformation avslöjas
Beskrivning: Problemet åtgärdades genom att uppdatera till expat version 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Flera problem i libpcap
Beskrivning: Flera problem åtgärdades genom att uppdatera till libpcap version 1.9.1
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Lades till 6 april 2020
Security
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: En app kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8832: Insu Yun på SSLab vid Georgia Tech
WebKit
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Besök på en webbplats med skadligt innehåll kan avslöja vilka sidor användaren har besökt
Beskrivning: Ett problem med att information avslöjades fanns i hanteringen av API:et för lagringsåtkomst. Problemet åtgärdades med förbättrad logik.
CVE-2019-8898: Michael Kleber på Google
Lades till 11 februari 2020, uppdaterades 20 februari 2020
WebKit
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2019-8835: En anonym forskare i samarbete med Trend Micros Zero Day Initiative, Mike Zhang på Pangu Team
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Tillgängligt för: Apple TV 4K och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2019-8846: Marcin Towalski på Cisco Talos
Ytterligare tack
Core Data
Vi vill tacka natashenka på Google Project Zero för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.