Om sikkerhetsinnholdet i tvOS 11.3
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 11.3.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
tvOS 11.3
CoreFoundation
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2018-4155: Samuel Groß (@5aelo)
CoreText
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Behandling av en skadelig streng kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret minnehåndtering.
CVE-2018-4142: Robin Leroy fra Google Switzerland GmbH
Filsystemhendelser
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2018-4167: Samuel Groß (@5aelo)
Kjerne
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4150: en anonym forsker
Kjerne
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2018-4104: National Cyber Security Centre (NCSC) i Storbritannia
Kjerne
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4143: derrek (@derrekr6)
Kjerne
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem med avdekking av informasjon i overgangen av programtilstand. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2018-4185: Brandon Azad
libxml2
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2017-15412: Nick Wellnhofer
NSURLSession
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2018-4166: Samuel Groß (@5aelo)
Hurtigvisning
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2018-4157: Samuel Groß (@5aelo)
Sikkerhet
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Et skadelig program kan heve rettigheter
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Systemvalg
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: En konfigurasjonsprofil kan feilaktig forbli aktiv etter fjerning
Beskrivelse: Det var et problem med CFPreferences. Problemet ble løst med forbedret rydding av preferanser.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov og Matt Vlasach fra Wandera
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Uventet interaksjon med indekseringstyper forårsaker en ASSERT-feil
Beskrivelse: Det var et problem med utvalgsindeksering ved håndtering av en funksjon i JavaScriptCore. Dette problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4113: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til tjenestenekt
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2018-4146: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4101: Yuan Deng fra Ant-financial Light-Year Security Lab
CVE-2018-4114: funnet av OSS-Fuzz
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: en anonym forsker i samarbeid med Trend Micros Zero Day Initiative
CVE-2018-4120: Hanming Zhang (@4shitak4) fra Qihoo 360 Vulcan Team
CVE-2018-4121: natashenka fra Google Project Zero
CVE-2018-4122: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4125: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4127: en anonym forsker i samarbeid med Trend Micros Zero Day Initiative
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng fra Baidu Security Lab som jobber med Trend Micros Zero Day Initiative
CVE-2018-4130: Omair som jobber med Trend Micros Zero Day Initiative
CVE-2018-4161: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4162: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4163: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4165: Hanming Zhang (@4shitak4) fra Qihoo 360 Vulcan Team
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4207: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4208: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4209: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Uventet samhandling med indekseringstyper førte til en feil
Beskrivelse: Det var et problem med utvalgsindeksering ved håndtering av en funksjon i JavaScriptCore. Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4210: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4212: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4213: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: Apple TV 4K og Apple TV (4. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4145: funnet av OSS-Fuzz
Ytterligere anerkjennelse
Sikkerhet
Vi vil gjerne takke Abraham Masri (@cheesecakeufo) for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.