نبذة حول محتوى أمان tvOS 10.2
يوضّح هذا المستند محتوى الأمان لـ tvOS 10.2.
نبذة عن تحديثات أمان Apple
لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.
للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.
تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.
tvOS 10.2
الصوت
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2430: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro
CVE-2017-2462: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro
Carbon
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة ملف dfont. متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وُجد تجاوز في ذاكرة التخزين المؤقت أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-2017-2379: John Villamil وDoyensec وriusksk (泉哥) من Tencent Security Platform Department
CoreGraphics
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة صورة متطفلة إلى رفض الخدمة
الوصف: تمت معالجة مشكلة تتعلق بالتكرار اللانهائي من خلال الإدارة المُحسنة للحالة.
CVE-2017-2417: riusksk (泉哥) من Tencent Security Platform Department
CoreGraphics
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2444: Mei Wang من 360 GearTeam
CoreText
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2435: John Villamil، Doyensec
CoreText
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية
الوصف: تمت معالجة القراءة المتجاوزة للحدود من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2450: John Villamil، Doyensec
CoreText
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة رسالة نصية متطفّلة إلى رفض التطبيق للخدمة
الوصف: تمت معالجة مشكلة استنفاذ المورد من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2461: باحث غير معلوم الهوية، Isaac Archambault من IDAoADI
FontParser
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2487: riusksk (泉哥) من Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) من Tencent Security Platform Department
FontParser
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يؤدي تحليل ملف خط متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2407: riusksk (泉哥) من Tencent Security Platform Department
FontParser
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية
الوصف: تمت معالجة القراءة المتجاوزة للحدود من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2439: John Villamil، Doyensec
HTTPProtocol
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: يمكن لخادم HTTP/2 ضار التسبب في سلوك غير محدّد
الوصف: وجدت عدة مشاكل في إصدارات nghttp1.17.0 التي تسبق 2. وقد تمت معالجة هذه المشاكل بتحديث nghttp2 إلى الإصدار 1.17.0.
CVE-2017-2428
ImageIO
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) من KeenLab, Tencent
ImageIO
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يؤدي عرض ملف JPEG متطفل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2432: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro
ImageIO
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2467
ImageIO
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة صورة متطفلة إلى إنهاء التطبيق بشكل غير متوقع
الوصف: وجدت مشكلة تتعلق بقراءة غير مسموح بها في إصدارات LibTIFF قبل الإصدار 4.0.7. وتمت معالجة هذه المشكلة من خلال تحديث LibTIFF في ImageIO إلى الإصدار 4.0.7.
CVE-2016-3619
JavaScriptCore
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.
CVE-2017-2491: Apple
JavaScriptCore
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة صفحة ويب متطفلة إلى البرمجة النصية العمومية بين المواقع
الوصف: تمت معالجة مشكلة النماذج الأصلية من خلال المنطق المحسّن.
CVE-2017-2492: lokihardt من Google Project Zero
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2401: Lufeng Li من فريق Qihoo 360 Vulcan Team
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2440: باحث غير معلوم الهوية
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر
الوصف: تمت معالجة مشكلة حالة تعارض من خلال المعالجة المحسّنة للذاكرة.
CVE-2017-2456: lokihardt من Google Project Zero
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.
CVE-2017-2472: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2473: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة الخطأ "off-by-one" من خلال التحقق المحسّن من الحدود.
CVE-2017-2474: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة حالة تعارض من خلال القفل المحسن.
CVE-2017-2478: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال المعالجة المحسّنة للذاكرة.
CVE-2017-2482: Ian Beer من Google Project Zero
CVE-2017-2483: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام الامتيازات الكاملة
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2017-2490: Ian Beer من Google Project Zero وThe UK's National Cyber Security Centre (NCSC)
لوحات المفاتيح
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة المخزن المؤقت من خلال التحقق المُحسن من الحدود.
CVE-2017-2458: Shashank (@cyberboyIndia)
سلسلة المفاتيح
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يستطيع مخترق بإمكانه اعتراض اتصالات TLS قراءة أسرار محمية بسلسلة مفاتيح iCloud.
الوصف: فشلت سلسلة مفاتيح iCloud في بعض الحالات في التحقق من صحة حزم OTR. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.
CVE-2017-2448: Alex Radocea من Longterm Security, Inc.
libarchive
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن مهاجم محلي من تغيير أذونات نظام الملف على دلائل عشوائية
الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الارتباطات الرمزية.
CVE-2017-2390: Omer Medan من enSilo Ltd
libc++abi
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يؤدي إبطال تطبيق C++ ضار إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.
CVE-2017-2441
libxslt
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: وجدت العديد من الثغرات الأمنية في libxslt
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2017-5029: Holger Fuhrmannek
الأمان
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر
الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة المخزن المؤقت من خلال التحقق المُحسن من الحدود.
CVE-2017-2451: Alex Radocea من Longterm Security, Inc.
الأمان
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة شهادة x509 متطفّلة إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وجدت مشكلة تتعلق بتلف ذاكرة في تحليل الشهادات. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2485: Aleksandar Nikolic من Cisco Talos
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل
الوصف: تمت معالجة مشكلة الوصول إلى النماذج الأصلية من خلال المعالجة الاستثنائية المحسّنة.
CVE-2017-2386: André Bargull
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric من Google Project Zero، Zheng Huang من Baidu Security Lab يعمل مع مبادرة Zero Day Initiative من Trend Micro
CVE-2017-2455: Ivan Fratric من Google Project Zero
CVE-2017-2459: Ivan Fratric من Google Project Zero
CVE-2017-2460: Ivan Fratric من Google Project Zero
CVE-2017-2464: natashenka من Google Project Zero وJeonghoon Shin
CVE-2017-2465: Zheng Huang وWei Yuan من Baidu Security Lab
CVE-2017-2466: Ivan Fratric من Google Project Zero
CVE-2017-2468: lokihardt من Google Project Zero
CVE-2017-2469: lokihardt من Google Project Zero
CVE-2017-2470: lokihardt من Google Project Zero
CVE-2017-2476: Ivan Fratric من Google Project Zero
CVE-2017-2481: 0011 يعمل مع مبادرة Zero Day Initiative من Trend Micro
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.
CVE-2017-2415: Kai Kang of Tencent's Xuanwu Lab (tentcent.com)
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى استهلاك مرتفع للذاكرة
الوصف: تمت معالجة مشكلة تتعلق باستهلاك الموارد غير المنضبط من خلال المعالجة المُحسنة لـ regex.
CVE-2016-9643: Gustavo Grieco
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: ربما يقوم موقع ويب ضار بالتصفية المسبقة لبيانات عبر الأصل
الوصف: وُجدت مشكلة في التحقق من الصحة أثناء معالجة تحميل الصفحات. تمت معالجة هذه المشكلة من خلال المنطق المحسّن.
CVE-2017-2367: lokihardt من Google Project Zero
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى البرمجة النصية العمومية بين المواقع
الوصف: وُجدت مشكلة في التعامل مع كائنات الإطار. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.
CVE-2017-2445: lokihardt من Google Project Zero
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وجدت مشكلة منطقية في التعامل مع وظائف الوضع المقيد. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.
CVE-2017-2446: natashenka من Google Project Zero
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تعرض معلومات المستخدم للخطر
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2017-2447: natashenka من Google Project Zero
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2017-2463: Kai Kang (4B5F5F4B) من Tencent's Xuanwu Lab (tencent.com): يعمل مع مبادرة Zero Day من Trend Micro
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى البرمجة النصية العمومية بين المواقع
الوصف: وُجدت مشكلة تتعلق بالمنطق أثناء التعامل مع الإطار. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.
CVE-2017-2475: lokihardt من Google Project Zero
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل
الوصف: وجدت مشكلة تتعلق بالتحقق في معالجة العنصر. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.
CVE-2017-2479: lokihardt من Google Project Zero
WebKit
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل
الوصف: وجدت مشكلة تتعلق بالتحقق في معالجة العنصر. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.
CVE-2017-2480: lokihardt من Google Project Zero
CVE-2017-2493: lokihardt من Google Project Zero
تقدير آخر
XNU
يسعدنا أن نتوجّه بخالص الشكر إلى Lufeng Li من فريق Qihoo 360 Vulcan Team على المساعدة.
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.