Obsah zabezpečenia v systéme tvOS 12
V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 12.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
tvOS 12
Vydané 17. septembra 2018
Auto Unlock
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k účtom Apple ID lokálnych používateľov
Popis: Pri overovaní oprávnení dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania oprávnení procesov.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai zo spoločnosti Alibaba Inc.
Dátum pridania záznamu: 24. septembra 2018
Bluetooth
Dostupné pre: Apple TV (4. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth
Popis: V rozhraní Bluetooth dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-5383: Lior Neumann a Eli Biham
CFNetwork
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4126: Bruno Keith (@bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 30. októbra 2018
CoreFoundation
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4412: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
Dátum pridania záznamu: 30. októbra 2018
CoreFoundation
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4414: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
Dátum pridania záznamu: 30. októbra 2018
CoreText
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2018-4347: Vasyl Tkachuk zo spoločnosti Readdle
Dátum pridania záznamu: 30. októbra 2018, dátum aktualizovania: 18. decembra 2018
dyld
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2018-4433: Vitaly Cheptsov
Dátum pridania záznamu: 22. januára 2019
Grand Central Dispatch
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4426: Brandon Azad
Dátum pridania záznamu: 30. októbra 2018
Heimdal
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Dátum pridania záznamu: 30. októbra 2018
IOHIDFamily
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4408: Ian Beer z tímu Google Project Zero
Dátum pridania záznamu: 30. októbra 2018, dátum aktualizovania: 1. augusta 2019
IOKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4341: Ian Beer z tímu Google Project Zero
CVE-2018-4354: Ian Beer z tímu Google Project Zero
Dátum pridania záznamu: 30. októbra 2018
IOKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4383: Apple
Dátum pridania záznamu: 24. októbra 2018
IOUserEthernet
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4401: Apple
Dátum pridania záznamu: 30. októbra 2018
iTunes Store
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný sfalšovať výzvy na zadanie hesla v obchode iTunes Store
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4305: Jerry Decime
Kernel
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Vo volaniach rozhrania API s oprávneniami dochádzalo k problému s prístupom. Tento problém bol vyriešený používaním ďalších obmedzení.
CVE-2018-4399: Fabiano Anemone (@anoane)
Dátum pridania záznamu: 30. októbra 2018
Kernel
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4407: Kevin Backhouse zo spoločnosti Semmle Ltd.
Dátum pridania záznamu: 30. októbra 2018
Kernel
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: V jadre dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4363: Ian Beer z tímu Google Project Zero
Kernel
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer z tímu Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
CVE-2018-4425: cc v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Juwei Lin (@panicaII) zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 24. septembra 2018, dátum aktualizácie: 30. októbra 2018
Safari
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Lokálny používateľ môže byť schopný odhaliť webové stránky navštívené používateľom
Popis: Pri spracúvaní snímok aplikácií sa vyskytovali problémy s konzistenciou. Tento problém bol odstránený vylepšením spracúvania snímok aplikácií.
CVE-2018-4313: 11 anonymných výskumníkov, David Scott, Enes Mert Ulu zo strednej školy Abdullah Mürşide Özünenek Anadolu Lisesi – Ankara/Turecko, Mehmet Ferit Daştan z univerzity Van Yüzüncü Yıl University, Metin Altug Karakaya z organizácie Kaliptus Medical Organization, Vinodh Swami z univerzity Western Governor's University (WGU)
Security
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Útočník môže byť schopný zneužiť nedostatočne zabezpečené miesta v šifrovacom algoritme RC4
Popis: Tento problém bol vyriešený odstránením algoritmu RC4.
CVE-2016-1777: Pepi Zawodsky
Security
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Lokálny používateľ môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4395: Patrick Wardle zo spoločnosti Digita Security
Dátum pridania záznamu: 30. októbra 2018
Symptom Framework
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2018-4203: Bruno Keith (@bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 30. októbra 2018
Text
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4304: jianan.huang (@Sevck)
Dátum pridania záznamu: 30. októbra 2018
WebKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) z tímu Qihoo 360 Vulcan Team
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Webová stránka so škodlivým kódom môže stiahnuť dáta obrázkov z iného miesta
Popis: V Safari dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením overovania URL adries.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Dátum pridania záznamu: 24. septembra 2018, dátum aktualizácie: 18. decembra 2018
WebKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4191: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4299: Samuel Groβ (saelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4323: Ivan Fratric z tímu Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_, @5aelo a @_niklasb) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4328: Ivan Fratric z tímu Google Project Zero
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2018-4197: Ivan Fratric z tímu Google Project Zero
CVE-2018-4318: Ivan Fratric z tímu Google Project Zero
CVE-2018-4306: Ivan Fratric z tímu Google Project Zero
CVE-2018-4312: Ivan Fratric z tímu Google Project Zero
CVE-2018-4314: Ivan Fratric z tímu Google Project Zero
CVE-2018-4315: Ivan Fratric z tímu Google Project Zero
CVE-2018-4317: Ivan Fratric z tímu Google Project Zero
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Webová stránka so škodlivým kódom môže byť schopná spúšťať skripty v kontexte inej webovej lokality
Popis: V Safari dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením overovania URL adries.
CVE-2018-4309: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4361: Nájdené programom OSS-Fuzz
CVE-2018-4474: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 24. septembra 2018, dátum aktualizácie: 22. januára 2019
WebKit
Dostupné pre: Apple TV 4K a Apple TV (4. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4299: Samuel Groβ (saelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4323: Ivan Fratric z tímu Google Project Zero
CVE-2018-4328: Ivan Fratric z tímu Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_, @5aelo a @_niklasb) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Dátum pridania záznamu: 24. októbra 2018
Ďalšie poďakovanie
Assets
Poďakovanie za pomoc si zaslúži Brandon Azad.
Core Data
Poďakovanie za pomoc si zaslúži Andreas Kurtz (@aykay) zo spoločnosti NESO Security Labs GmbH.
Sandbox Profiles
Poďakovanie za pomoc si zaslúži Tencent Keen Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
SQLite
Poďakovanie za pomoc si zaslúži Andreas Kurtz (@aykay) zo spoločnosti NESO Security Labs GmbH.
WebKit
Poďakovanie za pomoc si zaslúžia Cary Hartline, Hanming Zhang z tímu 360 Vuclan a Zach Malone zo spoločnosti CA Technologies.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Contact the vendor.