Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 12.1

В этом документе описаны проблемы системы безопасности, устраняемые обновлением tvOS 12.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

tvOS 12.1

Дата выпуска: 30 октября 2018 г.

CoreCrypto

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Злоумышленник может воспользоваться уязвимостью в тесте Миллера — Рабина, чтобы вызывать ошибочное определение простых чисел.

Описание. Возникала проблема со способом определения простых чисел. Проблема устранена путем использования псевдослучайных баз для определения простых чисел.

CVE-2018-4398: Мартин Альбрехт (Martin Albrecht), Джейк Массимо (Jake Massimo) и Кенни Патерсон (Kenny Paterson) из колледжа Ройал-Холлоуэй при Лондонском университете, а также Юрий Соморовский (Juraj Somorovsky) из Рурского университета в Бохуме

ICU

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4394: анонимный исследователь

IPSec

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Программа может получить повышенные привилегии.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2018-4371: Тим Мичауд (Tim Michaud, @TimGMichaud) из группы Leviathan Security

Ядро

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем удаления уязвимого кода.

CVE-2018-4420: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)

Ядро

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2018-4413: Дзювей Лин (Juwei Lin, @panicaII) из отдела безопасности мобильных устройств в компании TrendMicro

Ядро

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4419: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)

NetworkExtension

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Подключение к VPN-серверу может приводить к утечке запросов DNS в адрес прокси-сервера с поддержкой DNS.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2018-4369: анонимный исследователь

WebKit

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4372: Хёнсок Хан (HyungSeok Han), Донхьен Ох (DongHyeon Oh) и Сан Кил Ча (Sang Kil Cha) из лаборатории SoftSec института KAIST (Южная Корея)

CVE-2018-4382: пользователь lokihardt из подразделения Google Project Zero

CVE-2018-4386: пользователь lokihardt из подразделения Google Project Zero

CVE-2018-4392: пользователь zhunki из подразделения 360 ESG Codesafe

CVE-2018-4416: пользователь lokihardt из подразделения Google Project Zero

WebKit

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Вредоносный веб-сайт может вызвать отказ в обслуживании.

Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.

CVE-2018-4409: Сабри Хаддуш (Sabri Haddouche, @pwnsdx) из компании Wire Swiss GmbH

WebKit

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2018-4378: анонимный исследователь и пользователь zhunki из подразделения 360 ESG Codesafe

Wi-Fi

Целевые продукты: Apple TV 4K и Apple TV (4-го поколения)

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.

CVE-2018-4368: Милан Штуте (Milan Stute) и Алекс Мариотто (Alex Mariotto) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете

Дополнительные благодарности

Подписи сертификатов

Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).

Безопасность

Выражаем благодарность за помощь Мариносу Бернитсасу (Marinos Bernitsas) из компании Parachute.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: