Über den Sicherheitsinhalt von tvOS 12.2
Dieses Dokument beschreibt den Sicherheitsinhalt von tvOS 12.2.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.
Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit .
tvOS 12.2
Veröffentlicht am 25. März 2019
802.1X
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise den Netzwerkverkehr abfangen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2019-6203: Dominic White von SensePost (@singe)
Eintrag hinzugefügt am 15. April 2019
CFString
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Zeichenfolge kann zu einem Denial-of-Service führen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Logik behoben.
CVE-2019-8516: SWIPS-Team von Frifee Inc.
Konfig
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
CoreCrypto
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Begrenzungsprüfung behoben.
CVE-2019-8542: ein anonymer Forscher
Datei
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Durch die Verarbeitung einer in böser Absicht erstellten Datei können Benutzerinformationen offengelegt werden
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2019-8906: Francisco Alonso
Eintrag aktualisiert am 15. April 2019
Stiftung
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Berechtigungen erlangen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2019-7286: ein anonymer Forscher, Clement Lecigne von Google Threat Analysis Group, Ian Beer von Google Project Zero und Samuel Groß von Google Project Zero
GeoServices
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Das Klicken auf einen böswilligen SMS-Link kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8553: ein anonymer Forscher
iAP
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Begrenzungsprüfung behoben.
CVE-2019-8542: ein anonymer Forscher
IOHIDFamilie
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann möglicherweise eine unerwartete Systembeendigung verursachen oder Kernelspeicher lesen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2019-8545: Adam Donenfeld (@doadam) vom Zimperium zLabs-Team
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Ein entfernter Angreifer kann möglicherweise Netzwerkverkehrsdaten ändern
Beschreibung: Bei der Verarbeitung von IPv6-Paketen bestand ein Speicherbeschädigungsproblem. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-5608: Apple
Eintrag hinzugefügt am 6. August 2019
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Ein entfernter Angreifer kann Speicherlecks erzielen
Beschreibung: Es bestand ein Leseproblem außerhalb der Grenzen, das zur Offenlegung des Kernelspeichers führte. Dies wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2019-8547: derrek (@derrekr6)
Eintrag hinzugefügt am 30. Mai 2019
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2019-8525: Zhuo Liang und shrek_wzw vom Qihoo 360 Nirvan Team
Eintrag hinzugefügt am 30. Mai 2019
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Ein entfernter Angreifer kann möglicherweise eine unerwartete Systembeendigung oder eine Beschädigung des Kernelspeichers verursachen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2019-8527: Ned Williamson von Google und derrek (@derrekr6)
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) vom Qihoo 360 Vulcan Team
Eintrag hinzugefügt am 3. April 2019
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise das Kernel-Speicherlayout ermitteln
Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8540: Weibo Wang (@ma1fan) vom Qihoo 360 Nirvan Team
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Berechtigungen erlangen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2019-8514: Samuel Groß von Google Project Zero
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann Kernel-Speicher lesen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-7293: Ned Williamson von Google
Kernel
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise das Kernel-Speicherlayout ermitteln
Beschreibung: Es bestand ein Leseproblem außerhalb der Grenzen, das zur Offenlegung des Kernelspeichers führte. Dies wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2019-6207: Weibo Wang vom Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser von Antid0te UG
Medienbibliothek
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise auf eingeschränkte Dateien zugreifen
Beschreibung: Ein Berechtigungsproblem wurde behoben, indem anfälliger Code entfernt und zusätzliche Überprüfungen hinzugefügt wurden.
CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng und Xiaolong Bai von Alibaba Inc.
Eintrag hinzugefügt am 30. Mai 2019
Energieverwaltung
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Im MIG-generierten Code bestanden mehrere Eingabevalidierungsprobleme. Diese Probleme wurden durch eine verbesserte Validierung behoben.
CVE-2019-8549: Mohamed Ghannam (@_simo36) von SSD Secure Disclosure (ssd-disclosure.com)
Sandkasten
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Ein Sandbox-Prozess kann möglicherweise Sandbox-Einschränkungen umgehen
Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.
CVE-2019-8618: Brandon Azad
Eintrag hinzugefügt am 30. Mai 2019
Sicherheit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Einem nicht vertrauenswürdigen Radiusserverzertifikat kann vertraut werden
Beschreibung: Im Trust Anchor Management bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8531: ein anonymer Forscher, QA-Team von SecureW2
Eintrag hinzugefügt am 15. Mai 2019
Siri
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise eine Diktieranforderung ohne Benutzerautorisierung initiieren
Beschreibung: Bei der Verarbeitung von Diktatanfragen bestand ein API-Problem. Dieses Problem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8502: Luke Deshotels von der North Carolina State University, Jordan Beichler von der North Carolina State University, William Enck von der North Carolina State University, Costin Carabaș von der University POLITEHNICA in Bukarest und Răzvan Deaconescu von der University POLITEHNICA in Bukarest
TrueTypeScaler
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftart kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2019-8517: riusksk von VulWar Corp in Zusammenarbeit mit der Trend Micro Zero Day Initiative
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2019-8535: Zhiyang Zeng (@Wester) vom Tencent Blade Team
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-6201: dwfault arbeitet mit ADLab von Venustech
CVE-2019-8518: Samuel Groß von Google Project Zero
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev in Zusammenarbeit mit der Trend Micro Zero Day Initiative
CVE-2019-8558: Samuel Groß von Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: gefunden von OSS-Fuzz
CVE-2019-8639: gefunden von OSS-Fuzz
Eintrag aktualisiert am 30. Mai 2019
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Ein Sandbox-Prozess kann möglicherweise Sandbox-Einschränkungen umgehen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8562: Wen Xu von SSLab bei Georgia Tech und Hanqing Zhao vom Chaitin Security Research Lab
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können sensible Benutzerinformationen offengelegt werden
Beschreibung: Bei der Abruf-API bestand ein Cross-Origin-Problem. Dies wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8536: Apple
CVE-2019-8544: ein anonymer Forscher
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-7285: dwfault arbeitet im ADLab von Venustech
CVE-2019-8556: Apple
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Typverwirrungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8506: Samuel Groß von Google Project Zero
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine schädliche Website kann möglicherweise Skripts im Kontext einer anderen Website ausführen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
CVE-2019-8503: Linus Särud von Detectify
WebKit
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Offenlegung von Prozessspeicher führen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Logik behoben.
CVE-2019-7292: Zhunki und Zhiyi Zhang vom 360 ESG Codesafe Team
XPC
Verfügbar für: Apple TV 4K und Apple TV HD zuvor Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise beliebige Dateien überschreiben
Beschreibung: Dieses Problem wurde durch verbesserte Überprüfungen behoben.
CVE-2019-8530: CodeColorist von Ant-Financial LightYear Labs
Zusätzliche Anerkennung
Konten
Wir danken Milan Stute vom Secure Mobile Networking Lab der Technischen Universität Darmstadt für seine Unterstützung.
Eintrag hinzugefügt am 30. Mai 2019
Kernel
Wir möchten Brandon Azad von Google Project Zero, Brandon Azad, Raz Mashat (@RazMashat) von der Ilan Ramon High School für ihre Unterstützung danken.
Eintrag aktualisiert am 30. Mai 2019
Safari
Wir möchten Ryan Pickren (ryanpickren.com), Nikhil Mittal (@c0d3G33k) von Payatu Labs (payatu.com) für ihre Unterstützung danken.
Eintrag aktualisiert am 30. Mai 2019
WebKit
Wir möchten Andrey Kovalev vom Yandex Security Team für seine Unterstützung danken.
Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich für weitere Informationen an den Anbieter .
No comments:
Post a Comment