מידע על תוכן האבטחה של tvOS 11.4
מסמך זה מתאר את תוכני האבטחה של tvOS 11.4.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple ניתן להצפין תקשורת עם Apple באמצעות'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID
tvOS 11.4
Bluetooth
זמין עבור: Apple TV 4K
השפעה: תוקף במיקום מורשה ברשת עלול להצליח ליירט תעבורת Bluetooth
תיאור: ב-Bluetooth הייתה בעיית אימות קלט. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2018-5383: Lior Neumann ו-Eli Biham
Crash Reporter
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בשגיאות.
CVE-2018-4206: Ian Beer מ-Google Project Zero
FontParser
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2018-4211: Proteas מ-Qihoo 360 Nirvan Team
Kernel
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4249: Kevin Backhouse מ-Semmle Ltd.
Kernel
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2018-4241: Ian Beer מ-Google Project Zero
CVE-2018-4243: Ian Beer מ-Google Project Zero
libxpc
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2018-4237: Samuel Groß (5aelo@) בעבודה עם Trend Micro’s Zero Day Initiative
libxpc
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4404: Samuel Groß (5aelo@) בעבודה עם Trend Micro’s Zero Day Initiative
LinkPresentation
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד הודעת טקסט בעלת מבנה זדוני עלול להוביל לזיוף זהות בממשק משתמש
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2018-4187: Roman Mueller (_faker@), Zhiyang Zeng (Wester@) מ- Tencent Security Platform Department
Messages
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: משתמש מקומי עלול להצליח לבצע התקפות התחזות
תיאור: בעיית החדרה טופלה באמצעות אימות משופר של הקלט.
CVE-2018-4235: Anurodh Pokharel מ-Salesforce.com
Messages
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה באמצעות אימות הודעות משופר.
CVE-2018-4240: Sriram (Sri_Hxor@) מ-PrimeFort Pvt. Ltd
Security
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: משתמש מקומי עלול להצליח לקרוא מזהה מכשיר מתמיד
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4224: Abraham Masri (cheesecakeufo@)
Security
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: משתמש מקומי עלול להצליח לקרוא מזהה חשבון מתמיד
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4223: Abraham Masri (cheesecakeufo@)
UIKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בטיפול במלל הייתה בעיית אימות. בעיה זו טופלה באמצעות אימות מלל משופר.
CVE-2018-4198: Hunter Byrnes
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל להחלפת קובצי Cookie
תיאור: בטיפול בקובצי Cookie בדפדפן אינטרנט הייתה בעיית הרשאות. בעיה זו טופלה באמצעות הגבלות משופרות.
CVE-2018-4232: חוקר אנונימי, Aymeric Chaib
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2018-4192: Markus Gaasedelen, Amy Burnett, ו-Patrick Biernat מ-.Ret2 Systems, Inc בעבודה עם Trend Micro’s Zero Day Initiative
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4214: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4204: התגלה על-ידי OSS-Fuzz, Richard Zhu (fluorescence) בעבודה עם Trend Micro's Zero Day Initiative
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4246: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4200: Ivan Fratric מ-Google Project Zero
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4201: חוקר אנונימי
CVE-2018-4218: natashenka מ-Google Project Zero
CVE-2018-4233: Samuel Groß (5aelo@) בעבודה עם Trend Micro’s Zero Day Initiative
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4188: YoKo Kho (YoKoAcc@) מ-Mitra Integrasi Informatika, PT
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4199: Alex Plaskett, Georgi Geshev, ו-Fabi Beterke מ-MWR Labs בעבודה עם Trend Micro’s Zero Day Initiative
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: הרשאות נשלחו באופן בלתי צפוי בעת טעינת תמונות מסכה של CSS. הבעיה טופלה באמצעות שימוש בשיטת טעינה התומכת ב-CORS.
CVE-2018-4190: Jun Kokatsu (shhnjk@)
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2018-4222: natashenka מ-Google Project Zero
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.