Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
tvOS 10.1.1
Kiadási dátum: 2017. január 23.
APNs Server
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A magas hálózati jogosultságú támadók nyomon tudták követni a felhasználói tevékenységeket.
Leírás: A klienstanúsítvány továbbítása egyszerű szövegként történt meg. A tanúsítványok hatékonyabb kezelésével hárították el a problémát.
CVE-2017-2383: Matthias Wachs és Quirin Scheitle (Technical University Munich [TUM])
Bejegyzés hozzáadva 2017. március 28-án.
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.
CVE-2017-2370 : Ian Beer (Google Project Zero)
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2017-2360 : Ian Beer (Google Project Zero)
libarchive
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.
CVE-2016-8687: Agostino Sarubbo (Gentoo)
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.
Leírás: Hatékonyabb kivételkezeléssel elhárítottak egy prototípus-hozzáférési problémát.
CVE-2017-2350: Gareth Heyes (Portswigger Web Security)
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2017-2354: Neymar (Tencent; Xuanwu Lab; tencent.com), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-2362: Ivan Fratric (Google Project Zero)
CVE-2017-2373: Ivan Fratric (Google Project Zero)
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriainicializálási hibát.
CVE-2017-2355: Team Pangu és lokihardt (PwnFest 2016)
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2017-2356: Team Pangu és lokihardt (PwnFest 2016)
CVE-2017-2369: Ivan Fratric (Google Project Zero)
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.
Leírás: Hitelesítési hiba lépett fel az oldalak betöltésekor. Hatékonyabb logika alkalmazásával küszöbölték ki a problémát.
CVE-2017-2363: lokihardt (Google Project Zero)
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.
Leírás: Hitelesítési hiba lépett fel a változók kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-2017-2365: lokihardt (Google Project Zero)
További köszönetnyilvánítás
WebKit-megerősítés
Köszönjük a következő személyeknek a segítséget: Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos és Cristiano Giuffrida (vusec csoport; Vrije Universiteit Amsterdam).