A tvOS 12.1 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 12.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

tvOS 12.1

Kiadási dátum: 2018. október 30.

CoreCrypto

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: A támadók a Miller-Rabin-prímtesztben fennálló rések kihasználásával helytelenül tudtak beazonosítani prímszámokat.

Leírás: Probléma állt fenn a prímszámok meghatározásához használt módszerrel. Azáltal hárítottuk el a problémát, hogy pszeudovéletlen alapokat használunk a prímszámok teszteléséhez.

CVE-2018-4398: Martin Albrecht, Jake Massimo és Kenny Paterson (Royal Holloway, University of London) és Juraj Somorovsky (Ruhr University, Bochum)

ICU

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4394: Erik Verbruggen (The Qt Company)

Bejegyzés frissítve: 2018. november 16.

IPSec

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy határérték-olvasási hibát.

CVE-2018-4371: Tim Michaud (@TimGMichaud; Leviathan Security Group)

Kernel

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Kernel

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4413: Juwei Lin (@panicaII; TrendMicro Mobile Security Team)

Kernel

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4419: Mohamed Ghannam (@_simo36)

NetworkExtension

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: Előfordult, hogy VPN-kiszolgálóhoz csatlakozva egy DNS-proxyhoz kerültek DNS-kérelmek.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2018-4369: anonim kutató

WebKit

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4372: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea)

CVE-2018-4382: lokihardt (Google Project Zero)

CVE-2018-4386: lokihardt (Google Project Zero)

CVE-2018-4392: zhunki (360 ESG Codesafe Team)

CVE-2018-4416: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: Az ártó szándékkal létrehozott webhelyek szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.

CVE-2018-4409: Sabri Haddouche (@pwnsdx; Wire Swiss GmbH)

WebKit

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor egy programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4378: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea), zhunki (360 ESG Codesafe Team)

Bejegyzés frissítve: 2018. november 16.

Wi-Fi

A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4368: Milan Stute és Alex Mariotto (Secure Mobile Networking Lab, Technische Universität Darmstadt)

További köszönetnyilvánítás

Tanúsítvány-aláírás

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

coreTLS

Köszönjük Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) és Yuval Yarom (University of Adelaide és Data61) segítségét.

Bejegyzés hozzáadva: 2018. december 12.

Biztonság

Köszönjük Marinos Bernitsas (Parachute) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: