Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
tvOS 12.1.1
Wydano 5 grudnia 2018 r.
AirPort
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
Obrazy dysków
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4427: Pangu Team
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4431: tę lukę w zabezpieczeniach zgłosił niezależny badacz zabezpieczeń do programu wykrywania luk w zabezpieczeniach zespołu SecuriTeam firmy Beyond Security
CVE-2018-4448: Brandon Azad
Wpis dodano 24 czerwca 2019 r.
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” (DoS) przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2018-4460: Kevin Backhouse z Semmle Security Research Team
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4431: tę lukę w zabezpieczeniach zgłosił niezależny badacz zabezpieczeń do programu wykrywania luk w zabezpieczeniach zespołu SecuriTeam firmy Beyond Security
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2018-4435: Jann Horn z Google Project Zero, Juwei Lin(@panicaII) i Junzhi Lu z TrendMicro Mobile Security Team w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 18 grudnia 2018 r.
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2018-4447: Juwei Lin(@panicaII) i Zhengyu Dong z TrendMicro Mobile Security Team w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 18 grudnia 2018 r.
Jądro
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4461: Ian Beer z Google Project Zero
Profile
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: niezaufany profil konfiguracji może być błędnie wyświetlany jako zweryfikowany.
Opis: w profilach konfiguracji występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez wprowadzenie dodatkowej kontroli uprawnień.
CVE-2018-4436: James Seeley @Code4iOS, Joseph S. z JJS Securities
Wpis uaktualniono 18 grudnia 2018 r.
WebKit
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4441: lokihardt z Google Project Zero
CVE-2018-4442: lokihardt z Google Project Zero
CVE-2018-4443: lokihardt z Google Project Zero
WebKit
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2018-4438: lokihardt z Google Project Zero, Qixun Zhao z zespołu Vulcan Team firmy Qihoo 360
Wpis uaktualniono 22 stycznia 2019 r.
WebKit
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2018-4444: James Lee (@Windowsrcer) z S2SWWW (s2swww.com)
Wpis dodano 3 kwietnia 2019 r.
WebKit
Dostępne dla: urządzenia Apple TV 4K i Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4437: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea
CVE-2018-4464: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea
Dodatkowe podziękowania
Profile
Dziękujemy za udzieloną pomoc: Luke Deshotels, Jordan Beichler i William Enck z North Carolina State University oraz Costin Carabaș i Răzvan Deaconescu z University POLITEHNICA of Bucharest.