Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
tvOS 11.2.5
Data wydania: 23 stycznia 2018 r.
Dźwięk
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin i Taekyoung Kwon z Information Security Lab, Yonsei University
Wpis uaktualniono 16 listopada 2018 r.
Core Bluetooth
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4087: Rani Idan (@raniXCH) z Zimperium zLabs Team
CVE-2018-4095: Rani Idan (@raniXCH) z Zimperium zLabs Team
Sterownik graficzny
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4109: Adam Donenfeld (@doadam) z Zimperium zLabs Team
Wpis dodany 8 lutego 2018 r.
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4090: Jann Horn z Google Project Zero
Wpis uaktualniono 16 listopada 2018 r.
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2018-4092: Stefan Esser z Antid0te UG
Wpis uaktualniono 16 listopada 2018 r.
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4082: Russ Cox z Google
Wpis uaktualniono 16 listopada 2018 r.
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2018-4093: Jann Horn z Google Project Zero
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4189: anonimowy badacz
Wpis dodano 2 maja 2018 r.
QuartzCore
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania zawartości internetowej występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4085: Ret2 Systems Inc. w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 16 listopada 2018 r.
Zabezpieczenia
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: certyfikat może mieć nieprawidłowo zastosowane ograniczenia nazw.
Opis: w procedurach obsługi ograniczeń nazw występuje błąd oceny certyfikatu. Ten błąd usunięto przez poprawienie procedury oceny zaufania certyfikatów.
CVE-2018-4086: Ian Haken z Netflix
Wpis uaktualniono 16 listopada 2018 r.
WebKit
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4088: Jeonghoon Shin z Theori
CVE-2018-4089: Ivan Fratric z Google Project Zero
CVE-2018-4096: wykryte przez OSS-Fuzz
WebKit
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4147: wykryte przez OSS-Fuzz
Wpis dodano 18 października 2018 r.
WebKit — wczytywanie stron
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7830: Jun Kokatsu (@shhnjk)
Wpis dodano 18 października 2018 r.