Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
tvOS 11.3
Objavljeno 29. ožujka 2018.
CoreFoundation
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4155: Samuel Groß (@5aelo)
Jezgreni tekst
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)
Događaji datotečnog sustava
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4167: Samuel Groß (@5aelo)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4150: anonimni istraživač
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4143: derrek (@derrekr6)
NSURLSession
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4166: Samuel Groß (@5aelo)
Brzi pregled
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4157: Samuel Groß (@5aelo)
Sigurnost
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Postavke sustava
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan
Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT
Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Problem je riješen poboljšanim provjerama.
CVE-2018-4113: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4146: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)
CVE-2018-4114: otkrio OSS-Fuzz
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2018-4120: Hanming Zhang (@4shitak4) (tim Vulcan, Qihoo 360)
CVE-2018-4121: Natalie Silvanovich (Google Project Zero)
CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4127: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)
CVE-2018-4130: Omair i inicijativa Zero Day (Trend Micro)
CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4165: Hanming Zhang (@4shitak4) (Qihoo 360 Vulcan Team)
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4207: otkrio OSS-Fuzz
Unos je dodan 2. svibnja 2018.
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4208: otkrio OSS-Fuzz
Unos je dodan 2. svibnja 2018.
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4209: otkrio OSS-Fuzz
Unos je dodan 2. svibnja 2018.
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar
Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-2018-4210: otkrio OSS-Fuzz
Unos je dodan 2. svibnja 2018.
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4212: otkrio OSS-Fuzz
Unos je dodan 2. svibnja 2018.
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4213: otkrio OSS-Fuzz
Unos je dodan 2. svibnja 2018.
Dodatna zahvala
Sigurnost
Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).
Unos je dodan 13. travnja 2018.