A tvOS 12.1 biztonsági változásjegyzéke
Ez a dokumentum a tvOS 12.1 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
tvOS 12.1
CoreCrypto
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: A támadók a Miller-Rabin-prímtesztben fennálló rések kihasználásával helytelenül tudtak beazonosítani prímszámokat.
Leírás: Probléma állt fenn a prímszámok meghatározásához használt módszerrel. Azáltal hárítottuk el a problémát, hogy pszeudovéletlen alapokat használunk a prímszámok teszteléséhez.
CVE-2018-4398: Martin Albrecht, Jake Massimo és Kenny Paterson (Royal Holloway, University of London) és Juraj Somorovsky (Ruhr University, Bochum)
ICU
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2018-4394: Erik Verbruggen (The Qt Company)
IPSec
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy határérték-olvasási hibát.
CVE-2018-4371: Tim Michaud (@TimGMichaud; Leviathan Security Group)
Kernel
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Kernel
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.
CVE-2018-4413: Juwei Lin (@panicaII; TrendMicro Mobile Security Team)
Kernel
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4419: Mohamed Ghannam (@_simo36)
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.
CVE-2018-4381: Angel Ramirez
NetworkExtension
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: Előfordult, hogy VPN-kiszolgálóhoz csatlakozva egy DNS-proxyhoz kerültek DNS-kérelmek.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2018-4369: anonim kutató
WebKit
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2018-4372: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea)
CVE-2018-4382: lokihardt (Google Project Zero)
CVE-2018-4386: lokihardt (Google Project Zero)
CVE-2018-4392: zhunki (360 ESG Codesafe Team)
CVE-2018-4416: lokihardt (Google Project Zero)
WebKit
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: Az ártó szándékkal létrehozott webhelyek szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.
CVE-2018-4409: Sabri Haddouche (@pwnsdx; Wire Swiss GmbH)
WebKit
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor egy programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2018-4378: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea), zhunki (360 ESG Codesafe Team)
Wi-Fi
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2018-4368: Milan Stute és Alex Mariotto (Secure Mobile Networking Lab, Technische Universität Darmstadt)
További köszönetnyilvánítás
Tanúsítvány-aláírás
Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
coreTLS
Köszönjük Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) és Yuval Yarom (University of Adelaide és Data61) segítségét.
Biztonság
Köszönjük Marinos Bernitsas (Parachute) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.