Acerca do conteúdo de segurança do tvOS 11.4

Este documento descreve o conteúdo de segurança do tvOS 11.4

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou versões necessárias. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple. Pode cifrar comunicações com a Apple através da Chave PGP de segurança dos produtos Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID-CVE.

tvOS 11.4

Data de lançamento: 29 de maio de 2018

Bluetooth

Disponível para: Apple TV 4K

Impacto: um atacante com uma posição privilegiada na rede poderá conseguir intercetar o tráfego de Bluetooth

Descrição: existia um problema de validação no Bluetooth. Este problema foi resolvido através da validação melhorada da entrada.

CVE-2018-5383: Lior Neumann e Eli Biham

Entrada adicionada a 23 de julho de 2018

Crash Reporter

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: uma app poderá conseguir obter privilégios elevados

Descrição: foi resolvido um problema de corrupção de memória através de uma melhoria no processamento de erros.

CVE-2018-4206: Ian Beer do Google Project Zero

FontParser

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.

CVE-2018-4211: Proteas da Equipa Nirvan da Qihoo 360

Kernel

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2018-4249: Kevin Backhouse da Semmle Ltd.

Kernel

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2018-4241: Ian Beer do Google Project Zero

CVE-2018-4243: Ian Beer do Google Project Zero

libxpc

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: uma app poderá conseguir obter privilégios elevados

Descrição: foi resolvido um problema de lógica através da validação melhorada.

CVE-2018-4237: Samuel Groß (@5aelo) em colaboração com o programa Zero Day Initiative da Trend Micro

libxpc

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do sistema

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2018-4404: Samuel Groß (@5aelo) em colaboração com o programa Zero Day Initiative da Trend Micro

Entrada adicionada a 1 de agosto de 2019

LinkPresentation

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de um texto criado com intuito malicioso poderá provocar a falsificação da IU

Descrição: existia um problema de falsificação no processamento de URL. Este problema foi resolvido através da validação melhorada da entrada.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) do Departamento da plataforma de segurança da Tencent

Entrada adicionada a 1 de agosto de 2019

Messages

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: um utilizador local poderá conseguir realizar ataques de roubo de identidade

Descrição: foi resolvido um problema de injeção através da validação melhorada da entrada.

CVE-2018-4235: Anurodh Pokharel da Salesforce.com

Messages

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de uma mensagem criada com intuito malicioso poderá provocar uma recusa de serviço

Descrição: este problema foi resolvido através da validação melhorada da mensagem.

CVE-2018-4240: Sriram (@Sri_Hxor) da PrimeFort Pvt. Ltd

Security

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: um utilizador local poderá conseguir ler um identificador de dispositivo persistente

Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Security

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: um utilizador local poderá conseguir ler um identificador de conta persistente

Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

UIKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de um ficheiro de texto com intuito malicioso poderá provocar uma recusa de serviço

Descrição: existia um problema de validação no processamento de texto. Este problema foi resolvido através da validação melhorada de texto.

CVE-2018-4198: Hunter Byrnes

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: visitar um site criado com intuito malicioso poderá provocar a substituição de cookies

Descrição: existia um problema de permissões no processamento de cookies do navegador. Este problema foi resolvido através de restrições melhoradas.

CVE-2018-4232: um investigador anónimo, Aymeric Chaib

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2018-4192: Markus Gaasedelen, Amy Burnett e Patrick Biernat da Ret2 Systems, Inc em colaboração com o programa Zero Day Initiative da Trend Micro

Entrada atualizada a 8 de outubro de 2019

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no Safari

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2018-4214: descoberto por OSS-Fuzz

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2018-4204: descoberto por OSS-Fuzz, Richard Zhu (fluorescence) em colaboração com o programa Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2018-4246: descoberto por OSS-Fuzz

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.

CVE-2018-4200: Ivan Fratric do Google Project Zero

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

CVE-2018-4201: investigador anónimo

CVE-2018-4218: natashenka do Google Project Zero

CVE-2018-4233: Samuel Groß (@5aelo) em colaboração com o programa Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: aceder a um site malicioso poderá provocar a falsificação dos conteúdos na barra de endereço

Descrição: foi resolvido um problema de inconsistência na interface de utilizador através da gestão melhorada do estado.

CVE-2018-4188: YoKo Kho (@YoKoAcc) da Mitra Integrasi Informatika, PT

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.

CVE-2018-4199: Alex Plaskett, Georgi Geshev e Fabi Beterke da MWR Labs em colaboração com o programa Zero Day Initiative da Trend Micro

Entrada atualizada a 14 de junho de 2018

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: aceder a um site criado com intuito malicioso poderá provocar a divulgação de dados confidenciais

Descrição: as credenciais foram enviadas inesperadamente ao obter imagens de máscara em CSS. Este problema foi resolvido através de um método de obtenção que permite CORS.

CVE-2018-4190: Jun Kokatsu (@shhnjk)

WebKit

Disponível para: Apple TV 4K e Apple TV (4.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2018-4222: natashenka do Google Project Zero

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: 03 de novembro de 2023