אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
tvOS 11.4
הושק ב-29 במאי 2018
Bluetooth
זמין עבור: Apple TV 4K
השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורת Bluetooth
תיאור: ב-Bluetooth הייתה קיימת בעיית אימות קלט. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2018-5383: ליאור נוימן ואלי ביהם
הערך נוסף ב-23 ביולי 2018
Crash Reporter
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: אפליקציה עלולה לקבל הרשאות מלאות
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בשגיאות.
CVE-2018-4206: איאן ביר מ-Google Project Zero
FontParser
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול לגרום לביצוע של קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2018-4211: Proteas מ-Qihoo 360 Nirvan Team
ליבה
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4249: קווין בקהאוס מ-Semmle Ltd.
ליבה
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2018-4241: איאן ביר מ-Google Project Zero
CVE-2018-4243: איאן ביר מ-Google Project Zero
libxpc
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: אפליקציה עלולה לקבל הרשאות מלאות
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2018-4237: סמואל גרוס (@5aelo) בעבודה עם Zero Day Initiative של Trend Micro
libxpc
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4404: סמואל גרוס (@5aelo) בעבודה עם Zero Day Initiative של Trend Micro
הערך נוסף ב-1 באוגוסט 2019
LinkPresentation
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד הודעת טקסט בעלת מבנה זדוני עלול להוביל לזיוף זהות בממשק משתמש
תיאור: בטיפול בכתובות URL הייתה קיימת בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2018-4187: רומן מולר (@faker_), ג'י-יאנג זנג (@Wester) מ-Tencent Security Platform Department
הערך נוסף ב-1 באוגוסט 2019
הודעות
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: משתמש מקומי עלול להצליח לבצע התקפות התחזות
תיאור: בעיית החדרה טופלה באמצעות שיפור באימות הקלט.
CVE-2018-4235: אנורוד פוקארל מ-Salesforce.com
הודעות
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה באמצעות אימות הודעות משופר.
CVE-2018-4240: סריראם (@Sri_Hxor) מ-PrimeFort Pvt. Ltd
אבטחה
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: משתמש מקומי עלול לקרוא מזהה מכשיר מתמיד
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4224: אברהם מסרי (@cheesecakeufo)
אבטחה
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: משתמש מקומי עלול להצליח לקרוא מזהה חשבון מתמיד
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4223: אברהם מסרי (@cheesecakeufo)
UIKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד קובץ טקסט בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בטיפול בטקסט הייתה קיימת בעיית אימות. בעיה זו טופלה באמצעות אימות טקסט משופר.
CVE-2018-4198: האנטר ביירנס
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל להחלפת קובצי Cookie
תיאור: בטיפול בקובצי Cookie בדפדפן אינטרנט הייתה קיימת בעיית הרשאות. בעיה זו טופלה באמצעות הגבלות משופרות.
CVE-2018-4232: חוקר אנונימי, איימריק שייב
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2018-4192: מרקוס גאסדלן, איימי ברנט ופטריק ביירנט מ-Ret2 Systems, Inc, בעבודה עם Zero Day Initiative של Trend Micro
הערך עודכן ב-8 באוקטובר 2019
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4214: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4204: התגלה על-ידי OSS-Fuzz, ריצ'רד ג'ו (fluorescence) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4246: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4200: איוון פרטריק מ-Google Project Zero
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיות מרובות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4201: חוקר אנונימי
CVE-2018-4218: נטלי סילבנוביץ' מ-Google Project Zero
CVE-2018-4233: סמואל גרוס (@5aelo) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות באמצעות ניהול מצב משופר.
CVE-2018-4188: יוקו קו (@YoKoAcc) מ-Mitra Integrasi Informatika, PT
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4199: אלכס פלסקט, גאורגי גשב ופאבי בטרקה מ-MWR Labs בעבודה עם Zero Day Initiative של Trend Micro
הערך עודכן ב-14 ביוני 2018
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: הרשאות נשלחו באופן בלתי צפוי בעת טעינת תמונות מסכה של CSS. הבעיה טופלה באמצעות שימוש בשיטת טעינה התומכת ב-CORS.
CVE-2018-4190: יון קוקטסו (@shhnjk)
WebKit
זמין עבור: Apple TV 4K ו-Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2018-4222: נטלי סילבנוביץ' מ-Google Project Zero