Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
tvOS 11.4
Κυκλοφόρησε στις 29 Μαΐου 2018
Εργαλείο αναφοράς σφαλμάτων
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό σφάλματος.
CVE-2018-4206: Ian Beer του Google Project Zero
FontParser
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2018-4211: Proteas από την Ομάδα Qihoo 360 Nirvan
Πυρήνας
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4249: Kevin Backhouse της Semmle Ltd.
Πυρήνας
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα θέμα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2018-4241: Ian Beer του Google Project Zero
CVE-2018-4243: Ian Beer του Google Project Zero
libxpc
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2018-4237: Samuel Groß (@5aelo) σε συνεργασία με το Zero Day Initiative της Trend Micro
Μηνύματα
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διεξάγει επιθέσεις πλαστοπροσωπίας
Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4235: Anurodh Pokharel της Salesforce.com
Μηνύματα
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση μηνυμάτων.
CVE-2018-4240: Sriram (@Sri_Hxor) της PrimeFort Pvt. Ltd
Ασφάλεια
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει δυνατότητα ανάγνωσης ενός μόνιμου αναγνωριστικού συσκευής
Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Ασφάλεια
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει δυνατότητα ανάγνωσης ενός μόνιμου αναγνωριστικού λογαριασμού
Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
UIKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στο χειρισμό κειμένου. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση κειμένου.
CVE-2018-4198: Hunter Byrnes
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε αντικατάσταση των cookie
Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων στον χειρισμό των cookies του προγράμματος περιήγησης web. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2018-4232: ανώνυμος ερευνητής, Aymeric Chaib
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2018-4192: Markus Gaasedelen, Nick Burnett και Patrick Biernat της Ret2 Systems, Inc σε συνεργασία με το Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα στο Safari
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4214: εντοπίστηκε από OSS-Fuzz
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4204: εντοπίστηκε από OSS-Fuzz, Richard Zhu (fluorescence) σε συνεργασία με το Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4246: εντοπίστηκε από OSS-Fuzz
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2018-4200: Ivan Fratric του Google Project Zero
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4201: ανώνυμος ερευνητής
CVE-2018-4218: Natalie Silvanovich του Google Project Zero
CVE-2018-4233: Samuel Groß (@5aelo) σε συνεργασία με το Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2018-4188: YoKo Kho (@YoKoAcc) της Mitra Integrasi Informatika, PT
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4199: Alex Plaskett, Georgi Geshev, Fabi Beterke και Nils της MWR Labs σε συνεργασία με το Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τη διαρροή ευαίσθητων δεδομένων
Περιγραφή: Έγινε μη αναμενόμενη αποστολή διαπιστευτηρίων κατά την ανάκτηση εικόνων μάσκας CSS. Αυτό το πρόβλημα αντιμετωπίστηκε με χρήση μιας μεθόδου ανάκτησης με δυνατότητα CORS.
CVE-2018-4190: Jun Kokatsu (@shhnjk)
WebKit
Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4222: Natalie Silvanovich του Google Project Zero