Over de beveiligingsinhoud van tvOS 12
In dit document wordt de beveiligingsinhoud van tvOS 12 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging Je kunt communicatie met Apple versleutelen met de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
tvOS 12
Releasedatum 17 september 2018
Auto Unlock
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een kwaadaardig programma heeft mogelijk toegang tot de Apple ID's van lokale gebruikers
Beschrijving: er was een probleem met de validatie in de verificatie van toegangsrechten. Dit probleem is verholpen met verbeterde validatie van de toegangsrechten van processen.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai van Alibaba Inc.
Toegevoegd op 24 september 2018
Bluetooth
Beschikbaar voor: Apple TV (4e generatie)
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk Bluetooth-verkeer onderscheppen
Beschrijving: er was een probleem met de invoervalidatie in Bluetooth. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-5383: Lior Neumann en Eli Biham
CFNetwork
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4126: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 30 oktober 2018
CoreFoundation
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.
CVE-2018-4412: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
Toegevoegd op 30 oktober 2018
CoreFoundation
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.
CVE-2018-4414: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
Toegevoegd op 30 oktober 2018
CoreText
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2018-4347: Vasyl Tkachuk van Readdle
Toegevoegd op 30 oktober 2018, bijgewerkt op 18 december 2018
dyld
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een kwaadaardig programma kan mogelijk beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2018-4433: Vitaly Cheptsov
Toegevoegd op 22 januari 2019
Grand Central Dispatch
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4426: Brandon Azad
Toegevoegd op 30 oktober 2018
Heimdal
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Toegevoegd op 30 oktober 2018
IOHIDFamily
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2018-4408: Ian Beer van Google Project Zero
Toegevoegd op 30 oktober 2018, bijgewerkt op 1 augustus 2019
IOKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een kwaadwillig programma kan buiten zijn sandbox komen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4341: Ian Beer van Google Project Zero
CVE-2018-4354: Ian Beer van Google Project Zero
Toegevoegd op 30 oktober 2018
IOKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2018-4383: Apple
Toegevoegd op 24 oktober 2018
IOUserEthernet
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4401: Apple
Toegevoegd op 30 oktober 2018
iTunes Store
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk wachtwoordprompts in de iTunes Store vervalsen
Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.
CVE-2018-4305: Jerry Decime
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: er was een toegangsprobleem met geprivilegieerde API-aanroepen. Dit probleem is opgelost door extra beperkingen.
CVE-2018-4399: Fabiano Anemone (@anoane)
Toegevoegd op 30 oktober 2018
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk willekeurige code uitvoeren
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2018-4407: Kevin Backhouse van Semmle Ltd.
Toegevoegd op 30 oktober 2018
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan beperkt geheugen lezen
Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-4363: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer van Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
CVE-2018-4425: cc in samenwerking met het Zero Day Initiative van Trend Micro, Juwei Lin (@panicaII) van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 24 september 2018, bijgewerkt op 30 oktober 2018
Safari
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een lokale gebruiker kan door een gebruiker bezochte websites achterhalen
Beschrijving: er was een consistentieprobleem bij het verwerken van momentopnamen van programma's. Het probleem is verholpen door verbeterde verwerking van momentopnamen van programma's.
CVE-2018-4313: 11 anonieme onderzoekers, David Scott, Enes Mert Ulu van Abdullah Mürşide Özünenek Anadolu Lisesi (Ankara, Turkije), Mehmet Ferit Daştan van Van Yüzüncü Yıl University, Metin Altug Karakaya van Kaliptus Medical Organization, Vinodh Swami van Western Governor's University (WGU)
Security
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een aanvaller kan mogelijk gebruikmaken van de kwetsbaarheden in het cryptografische RC4-algoritme
Beschrijving: dit probleem is verholpen door RC4 te verwijderen.
CVE-2016-1777: Pepi Zawodsky
Security
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een lokale gebruiker kan een denial of service veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2018-4395: Patrick Wardle van Digita Security
Toegevoegd op 30 oktober 2018
Symptom Framework
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2018-4203: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 30 oktober 2018
Text
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot een denial of service
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2018-4304: jianan.huang (@Sevck)
Toegevoegd op 30 oktober 2018
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) van het Qihoo 360 Vulcan Team
Toegevoegd op 24 september 2018
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een kwaadaardige website kan afbeeldingsgegevens 'cross-origin' exfiltreren
Beschrijving: er was een probleem met cross-site-scripting in Safari. Dit probleem is verholpen door een verbeterde validatie van URL's.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Toegevoegd op 24 september 2018, bijgewerkt op 18 december 2018
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een onverwachte interactie veroorzaakt een ASSERT-fout
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2018-4191: gevonden door OSS-Fuzz
Toegevoegd op 24 september 2018
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4299: Samuel Groß (saelo) in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4323: Ivan Fratric van Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2018-4328: Ivan Fratric van Google Project Zero
Toegevoegd op 24 september 2018
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2018-4197: Ivan Fratric van Google Project Zero
CVE-2018-4318: Ivan Fratric van Google Project Zero
CVE-2018-4306: Ivan Fratric van Google Project Zero
CVE-2018-4312: Ivan Fratric van Google Project Zero
CVE-2018-4314: Ivan Fratric van Google Project Zero
CVE-2018-4315: Ivan Fratric van Google Project Zero
CVE-2018-4317: Ivan Fratric van Google Project Zero
Toegevoegd op 24 september 2018
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een kwaadaardige website kan mogelijk scripts uitvoeren in de context van een andere website
Beschrijving: er was een probleem met cross-site-scripting in Safari. Dit probleem is verholpen door een verbeterde validatie van URL's.
CVE-2018-4309: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 24 september 2018
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: een onverwachte interactie veroorzaakt een ASSERT-fout
Beschrijving: een probleem met geheugengebruik is verholpen door verbeterde geheugenverwerking.
CVE-2018-4361: gevonden door OSS-Fuzz
CVE-2018-4474: gevonden door OSS-Fuzz
Toegevoegd op 24 september 2018, bijgewerkt op 22 januari 2019
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4299: Samuel Groß (saelo) in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2018-4323: Ivan Fratric van Google Project Zero
CVE-2018-4328: Ivan Fratric van Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Toegevoegd op 24 oktober 2018
Aanvullende erkenning
Assets
Met dank aan Brandon Azad voor zijn hulp.
Core Data
Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.
Sandbox Profiles
Met dank aan Tencent Keen Security Lab in samenwerking met het Zero Day Initiative van Trend Micro voor hun hulp.
SQLite
Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.
WebKit
Met dank aan Cary Hartline, Hanming Zhang van het 360 Vulcan Team en Zach Malone van CA Technologies voor hun hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.