Om säkerhetsinnehållet i tvOS 12

Det här dokumentet beskriver säkerhetsinnehållet i tvOS 12.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

tvOS 12

Släpptes 17 september 2018

Autoupplåsning

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: En skadligt program kan få tillgång till lokala användares Apple-ID:n

Beskrivning: Ett valideringsproblem förekom i behörighetsvalideringen. Problemet åtgärdades med hjälp av förbättrad validering av processbehörigheten.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai på Alibaba Inc.

Posten lades till 24 september 2018

Bluetooth

Tillgängligt för: Apple TV (4:e generationen)

Effekt: En angripare i behörig nätverksposition kan manipulera Bluetooth-trafik

Beskrivning: Ett indatavalideringsproblem förekom i Bluetooth. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-5383: Lior Neumann och Eli Biham

IOKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4383: Apple

Lades till 24 oktober 2018

iTunes Store

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: En angripare med en privilegierad nätverksposition kan bluffa lösenordsuppmaningar i iTunes Store

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4305: Jerry Decime

Kernel

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med validering av indata förekom i kernel. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-4363: Ian Beer hos Google Project Zero

Kernel

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer på Google Project Zero

CVE-2018-4344: Storbritanniens National Cyber Security Centre (NCSC)

Lades till 24 september 2018, uppdaterades 24 oktober 2018

Safari

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Det kan hända att en lokal användare kan se vilka webbplatser som en användare har besökt

Beskrivning: Ett konsekvensproblem förekom i hanteringen av programögonblicksbilder. Problemet åtgärdades genom förbättrad hantering av programögonblicksbilder.

CVE-2018-4313: en anonym forskare, en anonym forskare, en anonym forskare, en anonym forskare, en anonym forskare, en anonym forskare, en anonym forskare, en anonym forskare, en anonym forskare, en anonym forskare, en anonym forskare, David Scott, Enes Mert Ulu på Abdullah Mürşide Özünenek Anadolu Lisesi – Ankara/Türkiye, Mehmet Ferit Daştan på Van Yüzüncü Yıl University, Metin Altug Karakaya på Kaliptus Medical Organization, Vinodh Swami på Western Governor's University (WGU)

Säkerhet

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen RC4

Beskrivning: Problemet åtgärdades genom att RC4 togs bort.

CVE-2016-1777: Pepi Zawodsky

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) på Qihoo 360 Vulcan Team

Posten lades till 24 september 2018

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: En skadlig webbplats kan komma åt bilddata från flera källor

Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Safari. Problemet har åtgärdats genom förbättrad URL-validering.

CVE-2018-4345: en anonym forskare

Posten lades till 24 september 2018

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Oväntad interaktion leder till ett ASSERT-fel

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2018-4191: upptäcktes av OSS-Fuzz

Posten lades till 24 september 2018

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2018-4299: Samuel Groβ (saelo) i samarbete med Trend Micros Zero Day Initiative

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4323: Ivan Fratric på Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) i samarbete med Trend Micros Zero Day Initiative

CVE-2018-4328: Ivan Fratric på Google Project Zero

Posten lades till 24 september 2018

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2018-4197: Ivan Fratric på Google Project Zero

CVE-2018-4318: Ivan Fratric på Google Project Zero

CVE-2018-4306: Ivan Fratric på Google Project Zero

CVE-2018-4312: Ivan Fratric på Google Project Zero

CVE-2018-4314: Ivan Fratric på Google Project Zero

CVE-2018-4315: Ivan Fratric på Google Project Zero

CVE-2018-4317: Ivan Fratric på Google Project Zero

Posten lades till 24 september 2018

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: En skadligt utformad webbplats kan köra skript i samband med en annan webbplats.

Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Safari. Problemet har åtgärdats genom förbättrad URL-validering.

CVE-2018-4309: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

Posten lades till 24 september 2018

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Oväntad interaktion leder till ett ASSERT-fel

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2018-4361: upptäcktes av OSS-Fuzz

Lades till 24 september 2018, uppdaterades 24 oktober 2018

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2018-4299: Samuel Groβ (saelo) i samarbete med Trend Micros Zero Day Initiative

CVE-2018-4323: Ivan Fratric på Google Project Zero

CVE-2018-4328: Ivan Fratric på Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) i samarbete med Trend Micros Zero Day Initiative

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

Lades till 24 oktober 2018

Ytterligare tack

Resurser

Vi vill tacka Brandon Azad för hans hjälp.

Core Data

Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.

Sandlådeprofiler

Vi vill tacka Tencent Keen Security Lab i samarbete med Trend Micros Zero Day Initiative för deras hjälp.

SQLite

Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.

WebKit

Vi vill tacka Cary Hartline, Hanming Zhang från 360 Vuclan team och Zach Malone på CA Technologies för deras hjälp.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: