Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 11.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 11.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

tvOS 11.3

Κυκλοφόρησε στις 29 Μαρτίου 2018

CoreFoundation

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4155: Samuel Groß (@5aelo)

CoreText

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4142: Robin Leroy της Google Switzerland GmbH

Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018

Συμβάντα συστήματος αρχείων

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4167: Samuel Groß (@5aelo)

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4150: ανώνυμος ερευνητής

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2018-4104: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4143: derrek (@derrekr6)

Πυρήνας

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών στη μετάβαση της κατάστασης προγράμματος. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2018-4185: Brandon Azad

Η καταχώριση προστέθηκε στις 19 Ιουλίου 2018

libxml2

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα στο Safari

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2017-15412: Nick Wellnhofer

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

NSURLSession

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4166: Samuel Groß (@5aelo)

Άμεση προβολή

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4157: Samuel Groß (@5aelo)

Ασφάλεια

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Προτιμήσεις συστήματος

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Ένα προφίλ ρύθμισης παραμέτρων ενδέχεται να παραμείνει εσφαλμένα σε ισχύ μετά από κατάργηση

Περιγραφή: Υπήρχε ένα πρόβλημα στο CFPreferences. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση προτιμήσεων.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov και Matt Vlasach του Wandera

Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση με τύπους δημιουργίας ευρετηρίου που προκαλούν το σφάλμα ASSERT

Περιγραφή: Υπήρχε ένα πρόβλημα δημιουργίας πίνακα ευρετηρίου στον χειρισμό μιας λειτουργίας στον πυρήνα javascript. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένων ελέγχων.

CVE-2018-4113: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2018-4146: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4101: Yuan Deng του Ant-financial Light-Year Security Lab

CVE-2018-4114: εντοπίστηκε από OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4120: Hanming Zhang (@4shitak4) της ομάδας Qihoo 360 Vulcan Team

CVE-2018-4121: natashenka του Google Project Zero

CVE-2018-4122: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4125: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4127: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng του Baidu Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4130: Omair σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4161: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4162: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4163: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4165: Hanming Zhang (@4shitak4) της ομάδας Qihoo 360 Vulcan Team

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4207: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 2 Μαΐου 2018

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4208: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 2 Μαΐου 2018

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4209: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 2 Μαΐου 2018

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση με τύπους δημιουργίας ευρετηρίου προκάλεσε σφάλμα

Περιγραφή: Υπήρχε ένα πρόβλημα δημιουργίας πίνακα ευρετηρίου στον χειρισμό μιας λειτουργίας στον πυρήνα javascript. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4210: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 2 Μαΐου 2018

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4212: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 2 Μαΐου 2018

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4213: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 2 Μαΐου 2018

WebKit

Διατίθεται για: Apple TV 4K και Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4145: εντοπίστηκε από το OSS-Fuzz

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

Επιπλέον αναγνώριση

Ασφάλεια

Θα θέλαμε να ευχαριστήσουμε τον Abraham Masri (@cheesecakeufo) για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 13 Απριλίου 2018

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: