Obsah zabezpečenia v systéme tvOS 11.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 11.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

tvOS 11.2

Vydané 4. decembra 2017

IOKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7162: Anonymný výskumník

Dátum pridania záznamu: 21. decembra 2017

IOSurface

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13861: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Aplikácia môže byť schopná čítať pamäť jadra

Popis: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a nepriame predpovedanie vetvy, môžu umožňovať neoprávnené získanie informácií útočníkom s použitím prístupu lokálneho používateľa prostredníctvom analýzy bočného kanálu vyrovnávacej pamäte dát.

CVE-2017-5754: Jann Horn z tímu Google Project Zero, Werner Haas a Thomas Prescher zo spoločnosti Cyberus Technology GmbH a Daniel Gruss, Moritz Lipp, Stefan Mangard a Michael Schwarz z Technologickej univerzity v Grazi

Dátum pridania záznamu: 4. januára 2018

Jadro

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer z tímu Google Project Zero

CVE-2017-13876: Ian Beer z tímu Google Project Zero

Dátum aktualizovania záznamu: 21. decembra 2017

Jadro

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-13833: Brandon Azad

Jadro

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13855: Jann Horn z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k viacerým problémom s overovaním, ktoré boli vyriešené vylepšením čistenia vstupu.

CVE-2017-13865: Ian Beer z tímu Google Project Zero

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn z tímu Google Project Zero

Jadro

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: V jadre dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-7154: Jann Horn z tímu Google Project Zero

Dátum pridania záznamu: 21. decembra 2017

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7156: Anonymný výskumník

CVE-2017-7157: Anonymný výskumník

CVE-2017-13856: Jeonghoon Shin

CVE-2017-13870: Anonymný výskumník

CVE-2017-7160: Anonymný výskumník

CVE-2017-13866: Anonymný výskumník

Dátum aktualizovania záznamu: 21. decembra 2017

Wi-Fi

K dispozícii pre: Apple TV (4. generácie)
Vydané pre Apple TV 4K v systéme tvOS 11.1.

Dopad: Útočník v dosahu Wi-Fi siete môže vynútiť opätovné použitie čísla nonce v klientoch WPA multicast/GTK (útoky opätovnou inštaláciou kľúča – KRACK)

Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-13080: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: