نبذة حول محتوى أمان tvOS 12

يتناول هذا المستند محتوى أمان tvOS 12.

نبذة عن تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID متى أمكن ذلك.

tvOS 12

Auto Unlock

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن تطبيق ضار من الوصول إلى معرّفات AppleID الخاصة بمستخدمين محليين

الوصف: وُجدت مشكلة تتعلق بالتحقق من التخويل. تمت معالجة هذه المشكلة عبر التحقق المحسّن من تخويل العملية.

CVE-2018-4321:‏ ‎Min (Spark) Zheng‎،‏ Xiaolong Bai من Alibaba Inc.‎

Bluetooth

متوفر لما يلي: Apple TV (الجيل الرابع)

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من اعتراض حركة مرور Bluetooth

الوصف: وجدت مشكلة في التحقق من صحة الإدخال في Bluetooth. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-5383:‏ Lior Neumann وEli Biham

CFNetwork

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4126:‏ ‎Bruno Keith (@bkth_)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

CoreFoundation

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4412:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

CoreFoundation

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4414:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

CoreText

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد تؤدي معالجة ملف نصي متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2018-4347:‏ Vasyl Tkachuk من Readdle

dyld

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن أحد التطبيقات الضارة من تعديل أجزاء محمية من نظام الملفات

الوصف: تمت معالجة مشكلة تتعلق بالتكوين من خلال فرض قيود إضافية.

CVE-2018-4433:‏ Vitaly Cheptsov

Grand Central Dispatch

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4426:‏ Brandon Azad

Heimdal

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4331:‏ Brandon Azad

CVE-2018-4332:‏ Brandon Azad

CVE-2018-4343:‏ Brandon Azad

IOHIDFamily

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4408:‏ Ian Beer من Google Project Zero

IOKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن تطبيق ضار من اختراق وضع حمايته

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4341:‏ Ian Beer من Google Project Zero

CVE-2018-4354:‏ Ian Beer من Google Project Zero

IOKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

CVE-2018-4383:‏ Apple

IOUserEthernet

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4401:‏ Apple

iTunes Store

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من انتحال مطالبات كلمات السر في iTunes Store

الوصف: تمت معالجة مشكلة متعلقة بالتحقق من صحة الإدخال من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4305:‏ Jerry Decime

Kernel

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكّن تطبيق ضار من تسريب معلومات المستخدم الحساسة

الوصف: وجود مشكلة في الوصول لدى استدعاءات واجهة برمجة التطبيقات API المميزة. وقد تمت معالجة هذه المشكلة من خلال فرض قيود إضافية.

CVE-2018-4399:‏ ‎Fabiano Anemone (@anoane)‎

Kernel

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن.

CVE-2018-4407:‏ Kevin Backhouse من Semmle Ltd.

Kernel

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: توجد مشكلة تحقق من الإدخال في kernel. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4363:‏ Ian Beer من Google Project Zero

Kernel

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4336:‏ Brandon Azad

CVE-2018-4337:‏ Ian Beer من Google Project Zero

CVE-2018-4340:‏ ‎Mohamed Ghannam (@_simo36)‎

CVE-2018-4344:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

CVE-2018-4425:‏ cc بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro،‏ ‎Juwei Lin (@panicaII)‎ من Trend Micro بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

Safari

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يستطيع مستخدم محلي التعرّف على المواقع التي زارها مستخدم

الوصف: وُجدت مشكلة تعارض في التعامل مع لقطات التطبيقات. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للقطات التطبيقات.

CVE-2018-4313:‏ 11 من الباحثين غير معلومي الهوية، وDavid Scott وEnes Mert Ulu من ‎Abdullah Mürşide Özünenek Anadolu Lisesi - Ankara/Türkiye‎، وMehmet Ferit Daştan من Van Yüzüncü Yıl University، وMetin Altug Karakaya من Kaliptus Medical Organization، وVinodh Swami من ‎Western Governor's University (WGU)‎

Security

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن المخترق من استغلال نقاط الضعف في خوارزمية تشفير الرسوم RC4

الوصف: تمت معالجة هذه المشكلة عن طريق إزالة RC4.

CVE-2016-1777:‏ Pepi Zawodsky

Security

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن مستخدم محلي من التسبب في رفض الخدمة

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2018-4395:‏ Patrick Wardle من Digita Security

Symptom Framework

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2018-4203:‏ ‎Bruno Keith (@bkth_)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

Text

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد تؤدي معالجة ملف نصي متطفل إلى رفض الخدمة

الوصف: تمت معالجة مشكلة متعلقة برفض الخدمة من خلال التحقق من الصحة المحسّن.

CVE-2018-4304:‏ ‎jianan.huang (@Sevck)‎

WebKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

CVE-2018-4316:‏ crixer،‏ ‎Hanming Zhang (@4shitak4)‎ من فريق Qihoo 360 Vulcan Team

WebKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: ربما يقوم موقع ويب ضار بالتصفية المسبقة لبيانات صورة عبر مصادر مختلفة

الوصف: توجد مشكلة في البرمجة النصية على مستوى الموقع في سفاري. تمت معالجة هذه المشكلة عبر التحقق المحسّن من صحة عنوان URL.

CVE-2018-4345:‏ ‎Jun Kokatsu (@shhnjk)‎

WebKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: يؤدي التفاعل غير المتوقع إلى حدوث عطل في ASSERT

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن.

CVE-2018-4191: وُجدت بواسطة OSS-Fuzz

WebKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2018-4299:‏ Samuel Groβ (saelo) بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

CVE-2018-4359:‏ ‎Samuel Groß (@5aelo)‎

CVE-2018-4323:‏ Ivan Fratric من Google Project Zero

CVE-2018-4358:‏ فريق ‎@phoenhex team (@bkth_ @5aelo @_niklasb)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

CVE-2018-4328:‏ Ivan Fratric من Google Project Zero

WebKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2018-4197:‏ Ivan Fratric من Google Project Zero

CVE-2018-4318:‏ Ivan Fratric من Google Project Zero

CVE-2018-4306:‏ Ivan Fratric من Google Project Zero

CVE-2018-4312:‏ Ivan Fratric من Google Project Zero

CVE-2018-4314:‏ Ivan Fratric من Google Project Zero

CVE-2018-4315:‏ Ivan Fratric من Google Project Zero

CVE-2018-4317:‏ Ivan Fratric من Google Project Zero

WebKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد يتمكن موقع ويب ضار من تنفيذ برامج نصية في سياق موقع ويب آخر

الوصف: توجد مشكلة في البرمجة النصية على مستوى الموقع في سفاري. تمت معالجة هذه المشكلة عبر التحقق المحسّن من صحة عنوان URL.

CVE-2018-4309: باحث غير معلوم الهوية بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

WebKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: يؤدي التفاعل غير المتوقع إلى حدوث عطل في ASSERT

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4361: وُجدت بواسطة OSS-Fuzz

CVE-2018-4474:‏ وُجدت بواسطة OSS-Fuzz

WebKit

متوفر على: Apple TV 4K وApple TV (الجيل الرابع)

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2018-4299:‏ Samuel Groβ (saelo) بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

CVE-2018-4323:‏ Ivan Fratric من Google Project Zero

CVE-2018-4328:‏ Ivan Fratric من Google Project Zero

CVE-2018-4358:‏ فريق ‎@phoenhex team (@bkth_ @5aelo @_niklasb)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

CVE-2018-4359:‏ ‎Samuel Groß (@5aelo)‎

CVE-2018-4360:‏ ‎William Bowling (@wcbowling)‎

تقدير آخر

Assets

يسعدنا أن نتقدم بخالص الشكر إلى Brandon Azad على مساعدته لنا.

Core Data

يسعدنا أن نتقدم بخالص الشكر إلى Andreas Kurtz (@aykay) من NESO Security Labs GmbH على مساعدته لنا.

Sandbox Profiles

يسعدنا أن نتوجّه بخالص الشكر إلى Tencent Keen Security Lab بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro على تقديم المساعدة لنا.

SQLite

يسعدنا أن نتقدم بخالص الشكر إلى Andreas Kurtz (@aykay) من NESO Security Labs GmbH على مساعدته لنا.

WebKit

يسعدنا أن نتوجّه بخالص الشكر إلى Cary Hartline وHanming Zhang من فريق ‎360 Vuclan‎، وZach Malone من CA Technologies على تقديم المساعدة لنا.