Sobre o conteúdo de segurança do tvOS 11.4
Este documento descreve o conteúdo de segurança do tvOS 11.4.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
tvOS 11.4
Bluetooth
Disponível para: Apple TV 4K
Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de Bluetooth
Descrição: havia um problema de validação de entrada no Bluetooth. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-5383: Lior Neumann e Eli Biham
Crash Reporter
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento de erros.
CVE-2018-4206: Ian Beer do Google Project Zero
FontParser
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2018-4211: Proteas da Qihoo 360 Nirvan Team
Kernel
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4249: Kevin Backhouse da Semmle Ltd.
Kernel
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2018-4241: Ian Beer do Google Project Zero
CVE-2018-4243: Ian Beer do Google Project Zero
libxpc
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2018-4237: Samuel Groß (@5aelo) em parceria com a Zero Day Initiative da Trend Micro
libxpc
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4404: Samuel Groß (@5aelo) em parceria com a Zero Day Initiative da Trend Micro
LinkPresentation
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar uma mensagem de texto criada com códigos maliciosos pode levar à falsificação da interface do usuário
Descrição: havia um problema de falsificação no processamento de URLs. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) do Tencent Security Platform Department
Messages
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um usuário local pode realizar ataques de falsificação
Descrição: um problema de injeção foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4235: Anurodh Pokharel da Salesforce.com
Messages
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar uma mensagem criada com códigos maliciosos pode resultar em recusa de serviço
Descrição: esse problema foi resolvido por meio de melhorias na validação de mensagens.
CVE-2018-4240: Sriram (@Sri_Hxor) da PrimeFort Pvt. Ltd
Security
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um usuário local pode ler um identificador persistente de dispositivo
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Security
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: um usuário local pode ler um identificador persistente de conta
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
UIKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar um arquivo de texto criado com códigos maliciosos pode resultar em uma negação de serviço
Descrição: havia um problema de validação no processamento de textos. Esse problema foi resolvido por meio de melhorias na validação de textos.
CVE-2018-4198: Hunter Byrnes
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode causar a substituição de cookies
Descrição: havia um problema de permissões no processamento de cookies de um navegador. Esse problema foi resolvido por meio de melhorias nas restrições.
CVE-2018-4232: pesquisador anônimo, Aymeric Chaib
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2018-4192: Markus Gaasedelen, Amy Burnett e Patrick Biernat da Ret2 Systems, Inc em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4214: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4204: encontrado por OSS-Fuzz, Richard Zhu (fluorescence) em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4246: encontrado por OSS-Fuzz
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4200: Ivan Fratric do Google Project Zero
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4201: pesquisador anônimo
CVE-2018-4218: natashenka do Google Project Zero
CVE-2018-4233: Samuel Groß (@5aelo) em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4188: YoKo Kho (@YoKoAcc) da Mitra Integrasi Informatika, PT
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4199: Alex Plaskett, Georgi Geshev e Fabi Beterke da MWR Labs em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode causar o vazamento de dados confidenciais
Descrição: ocorria o envio inesperado de credenciais durante a obtenção de imagens de máscaras CSS. Esse problema foi resolvido usando um método de obtenção habilitado por CORS.
CVE-2018-4190: Jun Kokatsu (@shhnjk)
WebKit
Disponível para: Apple TV 4K e Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4222: natashenka do Google Project Zero
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.