Informacije o sigurnosnom sadržaju sustava tvOS 11.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 11.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

tvOS 11.3

Objavljeno 29. ožujka 2018.

CoreFoundation

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4155: Samuel Groß (@5aelo)

Jezgreni tekst

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)

Događaji datotečnog sustava

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4167: Samuel Groß (@5aelo)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4150: anonimni istraživač

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4143: derrek (@derrekr6)

NSURLSession

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4166: Samuel Groß (@5aelo)

Brzi pregled

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4157: Samuel Groß (@5aelo)

Sigurnost

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Postavke sustava

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan

Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Problem je riješen poboljšanim provjerama.

CVE-2018-4113: otkrio OSS-Fuzz

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4146: otkrio OSS-Fuzz

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)

CVE-2018-4114: otkrio OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2018-4120: Hanming Zhang (@4shitak4) (tim Vulcan, Qihoo 360)

CVE-2018-4121: Natalie Silvanovich (Google Project Zero)

CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4127: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2018-4130: Omair i inicijativa Zero Day (Trend Micro)

CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4165: Hanming Zhang (@4shitak4) (Qihoo 360 Vulcan Team)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4207: otkrio OSS-Fuzz

Unos je dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4208: otkrio OSS-Fuzz

Unos je dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4209: otkrio OSS-Fuzz

Unos je dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2018-4210: otkrio OSS-Fuzz

Unos je dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4212: otkrio OSS-Fuzz

Unos je dodan 2. svibnja 2018.

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4213: otkrio OSS-Fuzz

Unos je dodan 2. svibnja 2018.

Dodatna zahvala

Sigurnost

Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).

Unos je dodan 13. travnja 2018.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: