Sobre o conteúdo de segurança do tvOS 11.3
Este documento descreve o conteúdo de segurança do tvOS 11.3.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
tvOS 11.3
CoreFoundation
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode obter privilégios elevados
Descrição: uma condição de corrida foi resolvida por meio de validação adicional.
CVE-2018-4155: Samuel Groß (@5aelo)
CoreText
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar uma string criada com códigos maliciosos pode resultar em uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4142: Robin Leroy da Google Switzerland GmbH
Eventos do sistema de arquivos
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode obter privilégios elevados
Descrição: uma condição de corrida foi resolvida por meio de validação adicional.
CVE-2018-4167: Samuel Groß (@5aelo)
Kernel
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4150: pesquisador anônimo
Kernel
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4104: National Cyber Security Centre (NCSC) do Reino Unido
Kernel
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4143: derrek (@derrekr6)
Kernel
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema de divulgação de informações na transição do estado do programa. Esse problema foi resolvido por meio de melhorias no processamento de estado.
CVE-2018-4185: Brandon Azad
libxml2
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-15412: Nick Wellnhofer
NSURLSession
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode obter privilégios elevados
Descrição: uma condição de corrida foi resolvida por meio de validação adicional.
CVE-2018-4166: Samuel Groß (@5aelo)
Visualização Rápida
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode obter privilégios elevados
Descrição: uma condição de corrida foi resolvida por meio de validação adicional.
CVE-2018-4157: Samuel Groß (@5aelo)
Segurança
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um estouro de buffer foi resolvido por meio de melhorias na validação de tamanho.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Preferências do Sistema
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um perfil de configuração pode permanecer incorretamente ativo após a remoção
Descrição: havia um problema em CFPreferences. Esse problema foi resolvido por meio de melhorias na limpeza das preferências.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov e Matt Vlasach da Wandera
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: interação inesperada com os tipos de indexação causando uma falha ASSERT
Descrição: havia um problema de indexação de matriz no processamento de uma função no núcleo de javascript. Esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2018-4113: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar em uma negação de serviço
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4146: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4101: Yuan Deng da Ant-financial Light-Year Security Lab
CVE-2018-4114: encontrado por OSS-Fuzz
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: pesquisador anônimo em parceira com a Zero Day Initiative da Trend Micro
CVE-2018-4120: Hanming Zhang (@4shitak4) da Qihoo 360 Vulcan Team
CVE-2018-4121: natashenka do Google Project Zero
CVE-2018-4122: WanderingGlitch da Zero Day Initiative da Trend Micro
CVE-2018-4125: WanderingGlitch da Zero Day Initiative da Trend Micro
CVE-2018-4127: pesquisador anônimo em parceira com a Zero Day Initiative da Trend Micro
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro
CVE-2018-4130: Omair em parceria com a Zero Day Initiative da Trend Micro
CVE-2018-4161: WanderingGlitch da Zero Day Initiative da Trend Micro
CVE-2018-4162: WanderingGlitch da Zero Day Initiative da Trend Micro
CVE-2018-4163: WanderingGlitch da Zero Day Initiative da Trend Micro
CVE-2018-4165: Hanming Zhang (@4shitak4) da Qihoo 360 Vulcan Team
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: uma interação inesperada causa uma falha ASSERT
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2018-4207: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: uma interação inesperada causa uma falha ASSERT
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2018-4208: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: uma interação inesperada causa uma falha ASSERT
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2018-4209: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: uma interação inesperada com os tipos de indexação causava uma falha
Descrição: havia um problema de indexação de matriz no processamento de uma função no núcleo de javascript. Esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2018-4210: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: uma interação inesperada causa uma falha ASSERT
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2018-4212: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: uma interação inesperada causa uma falha ASSERT
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2018-4213: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4145: encontrado por OSS-Fuzz
Outros reconhecimentos
Segurança
Gostaríamos de agradecer Abraham Masri (@cheesecakeufo) por sua ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.