Obsah zabezpečenia v systéme tvOS 11.4

V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 11.4.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

tvOS 11.4

Dátum vydania: 29. mája 2018

Súčasť hlásenia zlyhaní

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.

CVE-2018-4206: Ian Beer z tímu Google Project Zero

FontParser

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4211: Proteas z tímu Qihoo 360 Nirvan Team

Jadro

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4249: Kevin Backhouse zo spoločnosti Semmle Ltd.

Jadro

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2018-4241: Ian Beer z tímu Google Project Zero

CVE-2018-4243: Ian Beer z tímu Google Project Zero

libxpc

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4237: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Správy

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Lokálny používateľ môže byť schopný uskutočňovať útoky vydávaním sa za inú osobu

Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4235: Anurodh Pokharel zo Salesforce.com

Správy

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením overovania správ.

CVE-2018-4240: Sriram (@Sri_Hxor) zo spoločnosti PrimeFort Pvt. Ltd.

Zabezpečenie

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor zariadenia

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Zabezpečenie

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor účtu

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

UIKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Pri spracovávaní textu dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania textu.

CVE-2018-4198: Hunter Byrnes

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k prepísaniu súborov cookie

Popis: Pri spracovávaní súborov cookie webového prehliadača dochádzalo k problému s povoleniami. Tento problém bol vyriešený vylepšením obmedzení.

CVE-2018-4232: Anonymný výskumník, Aymeric Chaib

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2018-4192: Markus Gaasedelen, Nick Burnett a Patrick Biernat zo spoločnosti Ret2 Systems, Inc. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4214: Nájdené programom OSS-Fuzz

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4204: Nájdené programom OSS-Fuzz, Richard Zhu (fluorescence) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4246: Nájdené programom OSS-Fuzz

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4200: Ivan Fratric z tímu Google Project Zero

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2018-4201: Anonymný výskumník

CVE-2018-4218: Natalie Silvanovich z tímu Google Project Zero

CVE-2018-4233: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4188: YoKo Kho (@YoKoAcc) zo spoločnosti Mitra Integrasi Informatika, PT

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4199: Alex Plaskett, Georgi Geshev, Fabi Beterke a Nils z tímu MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých dát

Popis: Pri načítavaní obrázkov masiek CSS sa neočakávane odosielali aj prihlasovacie údaje. Tento problém bol vyriešený použitím spôsobu načítania, ktorý podporuje mechanizmus CORS.

CVE-2018-4190: Jun Kokatsu (@shhnjk)

WebKit

K dispozícii pre: Apple TV 4K a Apple TV (4. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4222: Natalie Silvanovich z tímu Google Project Zero

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: