Informacije o sigurnosnom sadržaju sustava tvOS 11.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 11.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

tvOS 11.2

Objavljeno 4. prosinca 2017.

IOKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7162: anonimni istraživač

Unos dodan 21. prosinca 2017.

IOSurface

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13861: Ian Beer (Google Project Zero)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle čitati kernelsku memoriju

Opis: sustavi s mikroprocesorima koji imaju funkciju špekulativnog izvršavanja i neizravnog predviđanja ogranka mogu dopustiti neovlašteno razotkrivanje informacija napadačima s lokalnim korisničkim pristupom putem analize sporednog kanala pričuvne memorije podataka.

CVE-2017-5754: Jann Horn, Google Project Zero, Werner Haas i Thomas Prescher, Cyberus Technology GmbH te Daniel Gruss, Moritz Lipp, Stefan Mangard i Michael Schwarz, Graz University of Technology

Unos dodan 4. siječnja 2018.

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer (Google Project Zero)

CVE-2017-13876: Ian Beer (Google Project Zero)

Unos ažuriran 21. prosinca 2017.

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2017-13833: Brandon Azad

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13855: Jann Horn (Google Project Zero)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.

CVE-2017-13865: Ian Beer (Google Project Zero)

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn (Google Project Zero)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: u kernelu je otkriven problem s provjerom valjanosti ulaza. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-7154: Jann Horn (Google Project Zero)

Unos dodan 21. prosinca 2017.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7156: anonimni istraživač

CVE-2017-7157: anonimni istraživač

CVE-2017-13856: Jeonghoon Shin

CVE-2017-13870: anonimni istraživač

CVE-2017-7160: anonimni istraživač

CVE-2017-13866: anonimni istraživač

Unos ažuriran 21. prosinca 2017.

Wi-Fi

Dostupno za: Apple TV (četvrte generacije)
Izdano za Apple TV 4K u tvOS 11.1.

Učinak: napadač u dosegu Wi-Fi mreže mogao je prisilno omogućiti ponovno korištenje privremenog broja na WPA multicast / GTK klijentima (napadi ponovnom instalacijom ključa – Key Reinstallation Attacks, KRACK)

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-13080: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 08. siječnja 2018.