Informacije o sigurnosnom sadržaju sustava tvOS 11.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 11.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
tvOS 11.3
CoreFoundation
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4155: Samuel Groß (@5aelo)
Jezgreni tekst
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)
Događaji datotečnog sustava
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4167: Samuel Groß (@5aelo)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4150: anonimni istraživač
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neka aplikacija mogla bi čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4143: derrek (@derrekr6)
Kernel
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: u prijelazu između stanja programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim rukovanjem stanjem.
CVE-2018-4185: Brandon Azad
libxml2
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2017-15412: Nick Wellnhofer
NSURLSession
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4166: Samuel Groß (@5aelo)
Brzi pregled
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4157: Samuel Groß (@5aelo)
Sigurnost
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Postavke sustava
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan
Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT
Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Problem je riješen poboljšanim provjerama.
CVE-2018-4113: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4146: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)
CVE-2018-4114: otkrio OSS-Fuzz
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2018-4120: Hanming Zhang (@4shitak4) (tim Vulcan, Qihoo 360)
CVE-2018-4121: natashenka (Google Project Zero)
CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4127: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)
CVE-2018-4130: Omair i inicijativa Zero Day (Trend Micro)
CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4165: Hanming Zhang (@4shitak4) (Qihoo 360 Vulcan Team)
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4207: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4208: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4209: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar
Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-2018-4210: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4212: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4213: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4145: otkrio OSS-Fuzz
Dodatna zahvala
Sigurnost
Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.