tvOS 12.3'ün güvenlik içeriği hakkında
Bu belgede tvOS 12.3'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
tvOS 12.3
AppleFileConduit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
Bluetooth
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: FIDO Güvenlik Anahtarlarına ait bir Bluetooth Düşük Enerji (BLE) sürümünün Bluetooth eşleme protokollerindeki hatalı konfigürasyon nedeniyle, fiziksel olarak yakın bir yerde bulunan bir saldırgan, eşleme sırasında Bluetooth trafiğini ele geçirebilir
Açıklama: Güvenli olmayan Bluetooth bağlantılarına sahip aksesuarlar etkisizleştirilerek bu sorun giderildi. Google'ın Titan Güvenlik Anahtarının Bluetooth Düşük Enerji (BLE) sürümünü kullanan müşteriler gerekli işlemleri yapmak için Android'in Haziran Bültenlerini ve Google'ın önerilerini gözden geçirmelidir.
CVE-2019-2102: Microsoft Corp. şirketinden Matt Beaver ve Erik Peterson
CoreAudio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Hata işleme iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8592: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
CoreAudio
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçla oluşturulmuş bir film dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8585: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
CoreText
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8582: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
Disk Görüntüleri
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8560: Bauman Moskova Devlet Teknik Üniversitesi'nden Nikita Pupyshev
Çekirdek
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8633: Qihoo 360 Vulcan Team'den Zhuo Liang
Çekirdek
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8576: Google Project Zero'dan Brandon Azad, LINE Security Team'den Junho Jang ve Hanul Choi
Çekirdek
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2019-8591: Ned Williamson (Google Project Zero ile)
Mesajlar
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir iMessage yazışmasından kaldırılan kullanıcılar, durumu değiştirmeye devam edebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8631: Dynastic'ten Jamie Bishop
MobileInstallation
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8577: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8600: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8598: Checkpoint Research'ten Omer Gull
SQLite
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.
CVE-2019-8602: Checkpoint Research'ten Omer Gull
sysdiagnose
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2019-8574: Seekintoo'dan (@seekintoo) Dayton Pidhirney (@_watbulb)
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8607: LINE Security Team'den Junho Jang ve Hanul Choi
WebKit
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2019-6237: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla), Qihoo 360 Vulcan Team'den Liu Long
CVE-2019-8571: 01 (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8583: Tencent Xuanwu Lab'den sakura, Tencent Keen Lab'den jessica (@babyjess1ca_) ve Venustech ADLab'den dwfault
CVE-2019-8584: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8586: anonim bir araştırmacı
CVE-2019-8587: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8594: KAIST Web Security & Privacy Lab'den Suyoung Lee ile Sooel Son ve KAIST SoftSec Lab'den HyungSeok Han ile Sang Kil Cha
CVE-2019-8595: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8596: Georgia Tech'teki SSLab'den Wen Xu
CVE-2019-8597: 01 (Trend Micro Zero Day Initiative programıyla)
CVE-2019-8601: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8608: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8609: SSLab, Georgia Tech'ten Wen Xu
CVE-2019-8610: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8611: Google Project Zero'dan Samuel Groß
CVE-2019-8615: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8619: Georgia Tech SSLab'den Wen Xu ve Chaitin Security Research Lab'den Hanqing Zhao
CVE-2019-8622: Google Project Zero'dan Samuel Groß
CVE-2019-8623: Google Project Zero'dan Samuel Groß
CVE-2019-8628: Georgia Tech SSLab'den Wen Xu ve Chaitin Security Research Lab'den Hanqing Zhao
Wi-Fi
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, sürücü durumunu değiştirebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8612: Darmstadt Teknik Üniversitesi'ndeki Secure Mobile Networking Lab'den Milan Stute
Wi-Fi
İlgili ürünler: Apple TV 4K ve Apple TV HD
Etki: Bir aygıt, Wi-Fi MAC adresi aracılığıyla pasif olarak izlenebilir
Açıklama: MAC yayın adresi kaldırılarak bir kullanıcı gizliliği sorunu giderildi.
CVE-2019-8620: Darmstadt Teknik Üniversitesi'ndeki Secure Mobile Networking Lab'den David Kreitschmann ve Milan Stute
Ek teşekkür listesi
CoreAudio
VulWar Corp şirketinden riusksk'e (Trend Micro'nun Zero Day Initiative programıyla) yardımıyla teşekkür ederiz.
CoreFoundation
Tencent Xuanwu Lab'den Vozzie, Rami, m4bln, Xiangqian Zhang ve Huiming Liu'ya yardımları için teşekkür ederiz.
Çekirdek
Anonim bir araştırmacıya ve Google Project Zero'dan Brandon Azad'a yardımları için teşekkür ederiz.
MediaLibrary
Alibaba Inc. şirketinden Angel Ramirez, Min (Spark) Zheng ve Xiaolong Bai'ye yardımları için teşekkür ederiz.
MobileInstallation
Yiğit Can YILMAZ'a (@yilmazcanyigit) yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.