Despre conținutul de securitate din tvOS 11.2

Acest document descrie conținutul de securitate din tvOS 11.2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după ID CVE atunci când este posibil.

tvOS 11.2

Publicare: 4 decembrie 2017

IOKit

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7162: un cercetător anonim

Intrare adăugată pe 21 decembrie 2017

IOSurface

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13861: Ian Beer (Google Project Zero)

Kernel

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: o aplicație poate citi memoria kernel

Descriere: sistemele cu microprocesoare care folosesc execuția speculativă și predicția indirectă a ramificațiilor pot permite divulgarea neautorizată a informațiilor către un atacator cu acces de utilizator local, printr-o analiză de canal lateral a memoriei cache de date.

CVE-2017-5754: Jann Horn (Google Project Zero), Werner Haas și Thomas Prescher (Cyberus Technology GmbH) și Daniel Gruss, Moritz Lipp, Stefan Mangard și Michael Schwarz (Universitatea de Tehnologie Graz)

Intrare adăugată pe 4 ianuarie 2018

Kernel

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer (Google Project Zero)

CVE-2017-13876: Ian Beer (Google Project Zero)

Intrare actualizată pe 21 decembrie 2017

Kernel

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2017-13833: Brandon Azad

Kernel

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2017-13855: Jann Horn (Google Project Zero)

Kernel

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: o aplicație poate citi memorie restricționată

Descriere: au fost rezolvate mai multe probleme de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13865: Ian Beer (Google Project Zero)

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn (Google Project Zero)

Kernel

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: a existat o problemă de validare a intrărilor în nucleu. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-7154: Jann Horn (Google Project Zero)

Intrare adăugată pe 21 decembrie 2017

WebKit

Disponibil pentru: Apple TV 4K și Apple TV (a 4-a generație)

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7156: un cercetător anonim

CVE-2017-7157: un cercetător anonim

CVE-2017-13856: Jeonghoon Shin

CVE-2017-13870: un cercetător anonim

CVE-2017-7160: un cercetător anonim

CVE-2017-13866: un cercetător anonim

Intrare actualizată pe 21 decembrie 2017

Wi-Fi

Disponibil pentru: Apple TV (a 4-a generație)

Lansat pentru Apple TV 4K în tvOS 11.1.

Impact: un atacator din raza de acoperire Wi-Fi ar putea forța reutilizarea nonce în clienții WPA multicast/GTK (atacuri cu reinstalarea cheilor – KRACK)

Descriere: a existat o problemă logică la tratarea tranzițiilor de stare. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-13080: Mathy Vanhoef (grupul imec-DistriNet din cadrul KU Leuven)

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: