Informacije o sigurnosnom sadržaju sustava tvOS 11.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 11.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

tvOS 11.3

Objavljeno 29. ožujka 2018.

CoreFoundation

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4155: Samuel Groß (@5aelo)

Jezgreni tekst

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)

Unos ažuriran 16. studenoga 2018.

Događaji datotečnog sustava

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4167: Samuel Groß (@5aelo)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4150: anonimni istraživač

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neka aplikacija mogla bi čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: u prijelazu između stanja programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim rukovanjem stanjem.

CVE-2018-4185: Brandon Azad

Unos je dodan 19. srpnja 2018.

libxml2

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2017-15412: Nick Wellnhofer

Unos je dodan 18. listopada 2018.

NSURLSession

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4166: Samuel Groß (@5aelo)

Brzi pregled

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4157: Samuel Groß (@5aelo)

Sigurnost

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Postavke sustava

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan

Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)

Unos ažuriran 16. studenoga 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Problem je riješen poboljšanim provjerama.

CVE-2018-4113: otkrio OSS-Fuzz

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4146: otkrio OSS-Fuzz

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)

CVE-2018-4114: otkrio OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2018-4120: Hanming Zhang (@4shitak4) (tim Vulcan, Qihoo 360)

CVE-2018-4121: natashenka (Google Project Zero)

CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4127: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2018-4130: Omair i inicijativa Zero Day (Trend Micro)

CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4165: Hanming Zhang (@4shitak4) (Qihoo 360 Vulcan Team)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4207: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4208: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4209: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2018-4210: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4212: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4213: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4145: otkrio OSS-Fuzz

Unos je dodan 18. listopada 2018.

Dodatna zahvala

Sigurnost

Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).

Unos je dodan 13. travnja 2018.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: