Informacije o sigurnosnom sadržaju sustava tvOS 11.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 11.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

tvOS 11.4

Bluetooth

Dostupno za: Apple TV 4K

Učinak: napadač s mrežnim ovlastima mogao je presresti promet putem Bluetooth mreže

Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-5383: Lior Neumann i Eli Biham

Crash Reporter

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neka bi aplikacija mogla dobiti veće ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem pogreškama.

CVE-2018-4206: Ian Beer (Google Project Zero)

FontParser

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2018-4211: Proteas (Qihoo 360 Nirvan Team)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4249: Kevin Backhouse (Semmle Ltd.)

Kernel

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2018-4241: Ian Beer (Google Project Zero)

CVE-2018-4243: Ian Beer (Google Project Zero)

libxpc

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neka bi aplikacija mogla dobiti veće ovlasti

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2018-4237: Samuel Gross (@5aelo) u suradnji s inicijativom Zero Day (Trend Micro)

libxpc

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4404: Samuel Groß (@5aelo) i inicijativa Zero Day (Trend Micro)

LinkPresentation

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjerne tekstne poruke može se poremetiti korisničko sučelje

Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng ((@Wester), Tencentov odjel sigurnosne platforme)

Messages

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: lokalni korisnik mogao je izvršavati napade oponašanja

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4235: Anurodh Pokharel (Salesforce.com)

Messages

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernih poruka može doći do odbijanja usluge

Opis: taj je problem riješen poboljšanom provjerom poruka.

CVE-2018-4240: Sriram (@Sri_Hxor) (Primefort Pvt. Ltd)

Security

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: lokalni korisnik mogao je čitati trajni identifikator uređaja

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Security

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: lokalni korisnik mogao je čitati trajni identifikator računa

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

UIKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjerne tekstne datoteke moglo se uzrokovati odbijanje usluge

Opis: u rukovanju tekstom postojao je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom valjanosti teksta.

CVE-2018-4198: Hunter Byrnes

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: posjetom zlonamjernom web-mjestu moglo bi doći do prebrisivanja kolačića

Opis: u rukovanju kolačićima web-preglednika otkriven je problem s dozvolama. Problem je riješen poboljšanim ograničenjima.

CVE-2018-4232: anonimni istraživač, Aymeric Chaib

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2018-4192: Markus Gaasedelen, Amy Burnett i Patrick Biernat (Ret2 Systems, Inc) u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4214: otkrio OSS-Fuzz

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4204: otkrili OSS-Fuzz, Richard Zhu (fluorescence) i inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4246: otkrio OSS-Fuzz

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4200: Ivan Fratrić (Google Project Zero)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4201: anonimni istraživač

CVE-2018-4218: natashenka (Google Project Zero)

CVE-2018-4233: Samuel Groß (@5aelo) u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4188: YoKo Kho (@YoKoAcc) (Mitra Integrasi Informatika, PT)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4199: Alex Plaskett, Georgi Geshev i Fabi Beterke (MWR Labs) te inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci

Opis: prilikom dohvaćanja CSS slika maske neočekivano su poslane vjerodajnice. Taj je problem riješen primjenom načina dohvaćanja s mogućnošću za CORS.

CVE-2018-4190: Jun Kokatsu (@shhnjk)

WebKit

Dostupno za: Apple TV 4K i Apple TV (četvrte generacije)

Učinak: obradom zlonamjernog web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4222: natashenka (Google Project Zero)