Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
tvOS 12
Släpptes 17 september 2018
Autoupplåsning
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett skadligt program kan få tillgång till lokala användares Apple-ID:n.
Beskrivning: Ett valideringsproblem förekom i behörighetsvalideringen. Problemet åtgärdades med hjälp av förbättrad validering av processbehörigheten.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai på Alibaba Inc.
Lades till 24 september 2018
Bluetooth
Tillgängligt för: Apple TV (4:e generationen)
Effekt: En angripare i behörig nätverksposition kan manipulera Bluetooth-trafik
Beskrivning: Ett indatavalideringsproblem förekom i Bluetooth. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2018-5383: Lior Neumann och Eli Biham
CFNetwork
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4126: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative
Lades till 30 oktober 2018
CoreFoundation
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4412: NCSC (National Cyber Security Centre) i Storbritannien
Lades till 30 oktober 2018
CoreFoundation
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4414: NCSC (National Cyber Security Centre) i Storbritannien
Lades till 30 oktober 2018
CoreText
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2018-4347: Vasyl Tkachuk på Readdle
Lades till 30 oktober 2018 och uppdaterades 18 december 2018
dyld
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett skadligt program kan ändra skyddade delar av filsystemet
Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.
CVE-2018-4433: Vitaly Cheptsov
Lades till 22 januari 2019
Grand Central Dispatch
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4426: Brandon Azad
Lades till 30 oktober 2018
Heimdal
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Lades till 30 oktober 2018
IOHIDFamily
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4408: Ian Beer på Google Project Zero
Lades till 30 oktober 2018, uppdaterades 1 augusti 2019
IOKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett skadligt program kan bryta sig ut från sitt begränsade läge
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4341: Ian Beer på Google Project Zero
CVE-2018-4354: Ian Beer på Google Project Zero
Lades till 30 oktober 2018
IOKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4383: Apple
Lades till 24 oktober 2018
IOUserEthernet
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4401: Apple
Lades till 30 oktober 2018
iTunes Store
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: En angripare med en privilegierad nätverksposition kan bluffa lösenordsuppmaningar i iTunes Store
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4305: Jerry Decime
Kernel
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett skadligt program kan läcka känslig användarinformation
Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades genom ytterligare begränsningar.
CVE-2018-4399: Fabiano Anemone (@anoane)
Lades till 30 oktober 2018
Kernel
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: En angripare i en privilegierad nätverksposition kan köra opålitlig kod
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2018-4407: Kevin Backhouse på Semmle Ltd.
Lades till 30 oktober 2018
Kernel
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med validering av indata förekom i kernel. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2018-4363: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer på Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: NCSC (National Cyber Security Centre) i Storbritannien
CVE-2018-4425: cc i samarbete med Trend Micros Zero Day Initiative, Juwei Lin (@panicaII) på Trend Micro i samarbete med Trend Micros Zero Day Initiative
Lades till 24 september 2018 och uppdaterades 30 oktober 2018
Safari
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Det kan hända att en lokal användare kan se vilka webbplatser som en användare har besökt
Beskrivning: Ett överensstämmelseproblem förekom i hanteringen av programögonblicksbilder. Problemet åtgärdades genom förbättrad hantering av programögonblicksbilder.
CVE-2018-4313: 11 anonyma forskare, David Scott, Enes Mert Ulu på Abdullah Mürşide Özünenek Anadolu Lisesi – Ankara/Türkiye, Mehmet Ferit Daştan på Van Yüzüncü Yıl University, Metin Altug Karakaya på Kaliptus Medical Organization, Vinodh Swami på Western Governor's University (WGU)
Säkerhet
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen RC4
Beskrivning: Problemet åtgärdades genom att RC4 togs bort.
CVE-2016-1777: Pepi Zawodsky
Säkerhet
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: En lokal användare kan orsaka att tjänster nekas
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2018-4395: Patrick Wardle på Digita Security
Lades till 30 oktober 2018
Symptom Framework
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2018-4203: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative
Lades till 30 oktober 2018
Text
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Bearbetning av en skadlig textfil kan leda till att åtkomsten till tjänsten nekas
Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.
CVE-2018-4304: jianan.huang (@Sevck)
Lades till 30 oktober 2018
WebKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) på Qihoo 360 Vulcan Team
Lades till 24 september 2018
WebKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: En skadlig webbplats kan komma åt bilddata från flera källor
Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Safari. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Lades till 24 september 2018 och uppdaterades 18 december 2018
WebKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Oväntad interaktion leder till ett ASSERT-fel
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2018-4191: upptäcktes av OSS-Fuzz
Lades till 24 september 2018
WebKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2018-4299: Samuel Groβ (saelo) i samarbete med Trend Micros Zero Day Initiative
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4323: Ivan Fratric på Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) i samarbete med Trend Micros Zero Day Initiative
CVE-2018-4328: Ivan Fratric på Google Project Zero
Lades till 24 september 2018
WebKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2018-4197: Ivan Fratric på Google Project Zero
CVE-2018-4318: Ivan Fratric på Google Project Zero
CVE-2018-4306: Ivan Fratric på Google Project Zero
CVE-2018-4312: Ivan Fratric på Google Project Zero
CVE-2018-4314: Ivan Fratric på Google Project Zero
CVE-2018-4315: Ivan Fratric på Google Project Zero
CVE-2018-4317: Ivan Fratric på Google Project Zero
Lades till 24 september 2018
WebKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: En skadligt utformad webbplats kan köra skript i samband med en annan webbplats
Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Safari. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-2018-4309: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
Lades till 24 september 2018
WebKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Oväntad interaktion leder till ett ASSERT-fel
Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.
CVE-2018-4361: upptäcktes av OSS-Fuzz
CVE-2018-4474: upptäcktes av OSS-Fuzz
Lades till 24 september 2018 och uppdaterades 22 januari 2019
WebKit
Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2018-4299: Samuel Groβ (saelo) i samarbete med Trend Micros Zero Day Initiative
CVE-2018-4323: Ivan Fratric på Google Project Zero
CVE-2018-4328: Ivan Fratric på Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) i samarbete med Trend Micros Zero Day Initiative
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Lades till 24 oktober 2018
Ytterligare tack
Resurser
Vi vill tacka Brandon Azad för hans hjälp.
Core Data
Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.
Sandlådeprofiler
Vi vill tacka Tencent Keen Security Lab i samarbete med Trend Micros Zero Day Initiative för deras hjälp.
SQLite
Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.
WebKit
Vi vill tacka Cary Hartline, Hanming Zhang från 360 Vuclan team och Zach Malone på CA Technologies för deras hjälp.