Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
tvOS 11.2.5
Objavljen 23. siječnja 2018.
Zvuk
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjerne audiodatoteke moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4094: Mingi Cho, MinSik Shin, Seoyoung Kim, Yeongho Lee i Taekyoung Kwon (Information Security Lab, sveučilište u Yonseiju)
Core Bluetooth
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4087: Rani Idan (@raniXCH) (tim za Zimperium zLabs)
CVE-2018-4095: Rani Idan (@raniXCH) (tim za Zimperium zLabs)
Upravljački program za grafiku
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4109: Adam Donenfeld (@doadam) (Zimperium zLabs Team)
Unos je dodan 8. veljače 2018.
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4090: Jann Horn (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: uvjet nadvladavanja riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4092: Stefan Esser (Antid0te UG)
Unos je ažuriran 8. veljače 2018
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4082: Russ Cox (Google)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2018-4093: Jann Horn (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4189: anonimni istraživač
Unos je dodan 2. svibnja 2018.
QuartzCore
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: u obradi web-sadržaja otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4085: Ret2 Systems Inc. u suradnji s inicijativom Zero Day (Trend Micro)
Sigurnost
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: certifikatu su možda neispravno dodijeljena ograničenja naziva
Opis: u rukovanju ograničenjima naziva otkriven je problem s procjenom certifikata. Taj je problem riješen poboljšanom procjenom pouzdanosti certifikata.
CVE-2018-4086: Ian Haken (Netflix)
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4088: Jeonghoon Shin (Theori)
CVE-2018-4089: Ivan Fratrić (Google Project Zero)
CVE-2018-4096: otkrio OSS-Fuzz