אודות תוכן האבטחה של tvOS 11.3

מסמך זה מתאר את תכני האבטחה של tvOS 11.3.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

tvOS 11.3

הופץ ב-29 במארס 2018

CoreFoundation

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2018-4155: סמואל גרוס (‎@5aelo)

CoreText

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4142: רובין לרוי מ-Google Switzerland GmbH

הרשומה עודכנה ב-16 בנובמבר 2018

אירועי מערכת בקובץ

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2018-4167: סמואל גרוס (‎@5aelo)

ליבה

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4150: חוקר אנונימי

ליבה

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2018-4104: ‏National Cyber Security Centre ‏(NCSC) של בריטניה

ליבה

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4143:‏ derrek‏ (‎@derrekr6)

ליבה

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: הייתה בעיה של חשיפת מידע במעבר של מצב תוכנית. בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2018-4185: ‏ברנדון אזאד

הרשומה נוספה ב-19 ביולי 2018

libxml2

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2017-15412: ניק וולנהופר

הערך נוסף ב-18 באוקטובר 2018

NSURLSession

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2018-4166: סמואל גרוס (‎@5aelo)

מבט מהיר

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2018-4157: סמואל גרוס (‎@5aelo)

אבטחה

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2018-4144: אברהם מסרי ‏(‎@cheesecakeufo)

העדפות מערכת

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: פרופיל תצורה עלול להישאר בתוקף באופן שגוי לאחר הסרתו

תיאור: הייתה בעיה ב-CFPreferences. בעיה זו טופלה באמצעות ניקוי העדפות משופר.

CVE-2018-4115: יוהאן תלקאדה, ולדימיר זובקוב ומאט ולאסאק מ-Wandera

הרשומה עודכנה ב-16 בנובמבר 2018

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: אינטראקציה בלתי צפויה עם סוגי יצירת אינדקס הגורמת לכשל ASSERT

תיאור: הייתה בעיה של יצירת אינדקס מערכים בטיפול בפונקציה ב-javascript core. בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4113: התגלה על-ידי OSS-Fuzz

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4146: התגלה על-ידי OSS-Fuzz

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4101: יואן דנג מ-Ant-financial Light-Year Security Lab

CVE-2018-4114: התגלה על-ידי OSS-Fuzz

CVE-2018-4118: יון קוקטסו ‏(‎@shhnjk)

CVE-2018-4119: חוקר אנונימי יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4120: הנמינג ז'אנג (‎@4shitak4) מ-Qihoo 360 Vulcan Team

CVE-2018-4121: נטאשנקה מ-Google Project Zero

CVE-2018-4122:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4125:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4127: חוקר אנונימי יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4128: זאק מרקלי

CVE-2018-4129:‏ likemeng מ-Baidu Security Lab‏ (xlab.baidu.com) יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4130:‏ Omair יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4161:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4162:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4163:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4165: הנמינג ז'אנג (‎@4shitak4) מ-Qihoo 360 Vulcan Team

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4207: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4208: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4209: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: אינטראקציה בלתי צפויה עם סוגי יצירת אינדקס גרמה לכשל

תיאור: הייתה בעיה של יצירת אינדקס מערכים בטיפול בפונקציה ב-javascript core. בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4210: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4212: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4213: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4145: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-18 באוקטובר 2018

תודות נוספות

אבטחה

אנחנו מבקשים להודות לאברהם מסרי (‎@cheesecakeufo) על הסיוע.

הרשומה נוספה ב-13 באפריל 2018

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 03 בנובמבר 2023