Om sikkerhedsindholdet i tvOS 12.1

Dette dokument beskriver sikkerhedsindholdet i tvOS 12.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

tvOS 12.1

CoreCrypto

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: En person med ondsindede hensigter kan måske udnytte svagheder i Miller-Rabin-testen til at identificere primtal ukorrekt

Beskrivelse: Der var et problem med metoden til bestemmelse af primtal. Dette problem er løst ved at bruge pseudotilfældige baser til test af primtal.

CVE-2018-4398: Martin Albrecht, Jake Massimo og Kenny Paterson fra Royal Holloway, University of London, og Juraj Somorovsky fra Ruhr University, Bochum

ICU

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Behandling af streng med skadelig kode kan føre til beskadigelse af heap

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4394: Erik Verbruggen fra The Qt Company

IPSec

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2018-4371: Tim Michaud (@TimGMichaud) fra Leviathan Security Group

Kernel

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Kernel

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2018-4413: Juwei Lin (@panicaII) fra TrendMicro Mobile Security Team

Kernel

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4419: Mohamed Ghannam (@_simo36)

Mail

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Behandling af en skadelig besked kan medføre et DoS-angreb

Beskrivelse: Et problem med opbrugte ressourcer er løst via forbedret inputvalidering.

CVE-2018-4381: Angel Ramirez

NetworkExtension

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Oprettelse af forbindelse til en VPN-server kan lække DNS-forespørgsler til en DNS-proxy

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2018-4369: En anonym programmør

WebKit

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4372: HyungSeok Han, DongHyeon Oh og Sang Kil Cha fra KAIST Softsec Lab, Korea

CVE-2018-4382: lokihardt fra Google Project Zero

CVE-2018-4386: lokihardt fra Google Project Zero

CVE-2018-4392: zhunki fra 360 ESG Codesafe Team

CVE-2018-4416: lokihardt fra Google Project Zero

WebKit

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Et skadeligt websted kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Et problem med opbrugte ressourcer er løst via forbedret inputvalidering.

CVE-2018-4409: Sabri Haddouche (@pwnsdx) fra Wire Swiss GmbH

WebKit

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2018-4378: HyungSeok Han, DongHyeon Oh og Sang Kil Cha fra KAIST Softsec Lab, Korea, zhunki fra 360 ESG Codesafe Team

Wi-Fi

Fås til: Apple TV 4K og Apple TV (4. generation)

Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.

CVE-2018-4368: Milan Stute og Alex Mariotto fra Secure Mobile Networking Lab på Technische Universität Darmstadt

Yderligere anerkendelser

Certifikatsignering

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

coreTLS

Vi vil gerne takke Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) og Yuval Yarom (University of Adelaide og Data61) for deres hjælp.

Sikkerhed

Vi vil gerne takke Marinos Bernitsas fra Parachute for hjælpen.