Über den Sicherheitsinhalt von tvOS 12
Dieses Dokument beschreibt den Sicherheitsinhalt von tvOS 12.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit . Sie können die Kommunikation mit Apple mit dem Apple Product Security PGP Key verschlüsseln.
Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .
tvOS 12
Veröffentlicht am 17. September 2018
Automatische Entsperrung
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise auf die AppleIDs lokaler Benutzer zugreifen
Beschreibung: Bei der Berechtigungsprüfung bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Validierung der Prozessberechtigung behoben.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai von Alibaba Inc.
Eintrag hinzugefügt am 24. September 2018
Bluetooth
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise Bluetooth-Datenverkehr abfangen
Beschreibung: Bei Bluetooth bestand ein Problem mit der Eingabevalidierung. Dieses Problem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2018-5383: Lior Neumann und Eli Biham
CFNetzwerk
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4126: Bruno Keith (@bkth_) arbeitet mit der Zero Day Initiative von Trend Micro zusammen
Eintrag hinzugefügt am 30. Oktober 2018
CoreFoundation
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2018-4412: Das britische National Cyber Security Centre (NCSC)
Eintrag hinzugefügt am 30. Oktober 2018
CoreFoundation
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Berechtigungen erlangen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2018-4414: Das britische National Cyber Security Centre (NCSC)
Eintrag hinzugefügt am 30. Oktober 2018
CoreText
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4347: Vasyl Tkachuk von Readdle
Eintrag hinzugefügt am 30. Oktober 2018, aktualisiert am 18. Dezember 2018
dyld
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein Konfigurationsproblem wurde mit zusätzlichen Einschränkungen behoben.
CVE-2018-4433: Vitaly Cheptsov
Eintrag hinzugefügt am 22. Januar 2019
Grand Central Dispatch
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4426: Brandon Azad
Eintrag hinzugefügt am 30. Oktober 2018
Heimdal
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Eintrag hinzugefügt am 30. Oktober 2018
IOHIDFamilie
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2018-4408: Ian Beer von Google Project Zero
Eintrag hinzugefügt am 30. Oktober 2018, aktualisiert am 1. August 2019
IOKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise aus ihrer Sandbox ausbrechen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4341: Ian Beer von Google Project Zero
CVE-2018-4354: Ian Beer von Google Project Zero
Eintrag hinzugefügt am 30. Oktober 2018
IOKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2018-4383: Apple
Eintrag hinzugefügt am 24. Oktober 2018
IOUserEthernet
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4401: Apple
Eintrag hinzugefügt am 30. Oktober 2018
iTunes-Store
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Ein Angreifer in einer privilegierten Position im Netzwerk kann möglicherweise Kennwortaufforderungen im iTunes Store fälschen
Beschreibung: Ein Problem mit der Eingabevalidierung wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2018-4305: Jerry Decime
Kernel
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise vertrauliche Benutzerinformationen preisgeben
Beschreibung: Bei privilegierten API-Aufrufen bestand ein Zugriffsproblem. Dieses Problem wurde mit zusätzlichen Einschränkungen behoben.
CVE-2018-4399: Fabiano Anemone (@anoane)
Eintrag hinzugefügt am 30. Oktober 2018
Kernel
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Ein Angreifer in einer privilegierten Position im Netzwerk kann möglicherweise beliebigen Code ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.
CVE-2018-4407: Kevin Backhouse von Semmle Ltd.
Eintrag hinzugefügt am 30. Oktober 2018
Kernel
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Im Kernel bestand ein Problem mit der Eingabevalidierung. Dieses Problem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2018-4363: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer von Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: Das britische National Cyber Security Centre (NCSC)
CVE-2018-4425: cc in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Juwei Lin (@panicaII) von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Eintrag hinzugefügt am 24. September 2018, aktualisiert am 30. Oktober 2018
Safari
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann möglicherweise Websites entdecken, die ein Benutzer besucht hat
Beschreibung: Bei der Verarbeitung von Anwendungs-Snapshots bestand ein Konsistenzproblem. Das Problem wurde durch eine verbesserte Handhabung von Anwendungs-Snapshots behoben.
CVE-2018-4313: ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, ein anonymer Forscher, David Scott, Enes Mert Ulu von Abdullah Mürşide Özünenek Anadolu Lisesi - Ankara/Türkiye, Mehmet Ferit Daştan von der Van Yüzüncü Yıl University, Metin Altug Karakaya von der Kaliptus Medical Organization, Vinodh Swami von der Western Governor's University (WGU)
Sicherheit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Ein Angreifer kann Schwachstellen im kryptografischen RC4-Algorithmus ausnutzen
Beschreibung: Dieses Problem wurde durch Entfernen von RC4 behoben.
CVE-2016-1777: Pepi Zawodsky
Sicherheit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Überprüfungen behoben.
CVE-2018-4395: Patrick Wardle von Digita Security
Eintrag hinzugefügt am 30. Oktober 2018
Symptom-Framework
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2018-4203: Bruno Keith (@bkth_) arbeitet mit der Zero Day Initiative von Trend Micro zusammen
Eintrag hinzugefügt am 30. Oktober 2018
Text
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zu einem Denial-of-Service führen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Validierung behoben.
CVE-2018-4304: jianan.huang (@Sevck)
Eintrag hinzugefügt am 30. Oktober 2018
WebKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2018-4316: Crixer, Hanming Zhang (@4shitak4) vom Qihoo 360 Vulcan Team
Eintrag hinzugefügt am 24. September 2018
WebKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine bösartige Website kann Bilddaten ursprungsübergreifend exfiltrieren
Beschreibung: In Safari bestand ein Cross-Site-Scripting-Problem. Dieses Problem wurde durch eine verbesserte URL-Validierung behoben.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Eintrag hinzugefügt am 24. September 2018, aktualisiert am 18. Dezember 2018
WebKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine unerwartete Interaktion verursacht einen ASSERT-Fehler
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.
CVE-2018-4191: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 24. September 2018
WebKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4299: Samuel Groβ (saelo) arbeitet mit der Zero Day Initiative von Trend Micro zusammen
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4323: Ivan Fratric von Google Project Zero
CVE-2018-4358: @phoenhex Team (@bkth_ @5aelo @_niklasb) arbeitet mit der Zero Day Initiative von Trend Micro zusammen
CVE-2018-4328: Ivan Fratric von Google Project Zero
Eintrag hinzugefügt am 24. September 2018
WebKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4197: Ivan Fratric von Google Project Zero
CVE-2018-4318: Ivan Fratric von Google Project Zero
CVE-2018-4306: Ivan Fratric von Google Project Zero
CVE-2018-4312: Ivan Fratric von Google Project Zero
CVE-2018-4314: Ivan Fratric von Google Project Zero
CVE-2018-4315: Ivan Fratric von Google Project Zero
CVE-2018-4317: Ivan Fratric von Google Project Zero
Eintrag hinzugefügt am 24. September 2018
WebKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine schädliche Website kann möglicherweise Skripts im Kontext einer anderen Website ausführen
Beschreibung: In Safari bestand ein Cross-Site-Scripting-Problem. Dieses Problem wurde durch eine verbesserte URL-Validierung behoben.
CVE-2018-4309: ein anonymer Forscher, der mit der Zero Day Initiative von Trend Micro zusammenarbeitet
Eintrag hinzugefügt am 24. September 2018
WebKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Eine unerwartete Interaktion verursacht einen ASSERT-Fehler
Beschreibung: Ein Speicherverbrauchsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4361: gefunden von OSS-Fuzz
CVE-2018-4474: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 24. September 2018, aktualisiert am 22. Januar 2019
WebKit
Verfügbar für: Apple TV 4K und Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4299: Samuel Groβ (saelo) arbeitet mit der Zero Day Initiative von Trend Micro zusammen
CVE-2018-4323: Ivan Fratric von Google Project Zero
CVE-2018-4328: Ivan Fratric von Google Project Zero
CVE-2018-4358: @phoenhex Team (@bkth_ @5aelo @_niklasb) arbeitet mit der Zero Day Initiative von Trend Micro zusammen
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Eintrag hinzugefügt am 24. Oktober 2018
Zusätzliche Anerkennung
Vermögenswerte
Wir möchten Brandon Azad für seine Unterstützung danken.
Kerndatei
Wir möchten Andreas Kurtz (@aykay) von NESO Security Labs GmbH für seine Unterstützung danken.
Sandbox-Profile
Wir danken Tencent Keen Security Lab für die Zusammenarbeit mit der Zero Day Initiative von Trend Micro für ihre Unterstützung.
SQLite
Wir möchten Andreas Kurtz (@aykay) von NESO Security Labs GmbH für seine Unterstützung danken.
WebKit
Wir möchten Cary Hartline, Hanming Zhang vom 360 Vuclan-Team und Zach Malone von CA Technologies für ihre Unterstützung danken.
Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich an den Anbieter , um weitere Informationen zu erhalten.
No comments:
Post a Comment