Zawartość związana z zabezpieczeniami w systemie tvOS 12.1.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 12.1.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

tvOS 12.1.1

AirPort

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Obrazy dysków

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4427: Pangu Team

Jądro

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4431: tę lukę w zabezpieczeniach zgłosił niezależny badacz zabezpieczeń do programu wykrywania luk w zabezpieczeniach zespołu SecuriTeam firmy Beyond Security

CVE-2018-4448: Brandon Azad

Jądro

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” (DoS) przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2018-4460: Kevin Backhouse z Semmle Security Research Team

Jądro

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4431: tę lukę w zabezpieczeniach zgłosił niezależny badacz zabezpieczeń do programu wykrywania luk w zabezpieczeniach zespołu SecuriTeam firmy Beyond Security

Jądro

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2018-4435: Jann Horn z Google Project Zero, Juwei Lin(@panicaII) i Junzhi Lu z TrendMicro Mobile Security Team w ramach programu Zero Day Initiative firmy Trend Micro

Jądro

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2018-4447: Juwei Lin(@panicaII) i Zhengyu Dong z TrendMicro Mobile Security Team w ramach programu Zero Day Initiative firmy Trend Micro

Jądro

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4461: Ian Beer z Google Project Zero

Profile

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: niezaufany profil konfiguracji może być błędnie wyświetlany jako zweryfikowany.

Opis: w profilach konfiguracji występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez wprowadzenie dodatkowej kontroli uprawnień.

CVE-2018-4436: James Seeley @Code4iOS, Joseph S. z JJS Securities

WebKit

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4441: lokihardt z Google Project Zero

CVE-2018-4442: lokihardt z Google Project Zero

CVE-2018-4443: lokihardt z Google Project Zero

WebKit

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2018-4438: lokihardt z Google Project Zero, Qixun Zhao z zespołu Vulcan Team firmy Qihoo 360

WebKit

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2018-4444: James Lee (@Windowsrcer) z S2SWWW.com

WebKit

Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4437: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea

CVE-2018-4464: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea

Dodatkowe podziękowania

Profile

Dziękujemy za udzieloną pomoc: Luke Deshotels, Jordan Beichler i William Enck z North Carolina State University oraz Costin Carabaș i Răzvan Deaconescu z University POLITEHNICA of Bucharest.