نبذة حول محتوى أمان Apple TV 7.2.1
يتناول هذا المستند محتوى أمان Apple TV 7.2.1.
لحماية عملائنا، لا تفصح Apple عن مشكلات الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أية برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.
وحيثما أمكن، يتم استخدام معرفات CVE للإشارة إلى قابلية الإصابة للحصول على مزيد من المعلومات.
للتعرف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.
Apple TV 7.2.1
bootp
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد تتمكن شبكة Wi-Fi متطفلة من تحديد شبكات جهاز تم الوصول إليه مسبقًا
الوصف: عند الاتصال بشبكة Wi-Fi، قد يقوم iOS ببث عناوين MAC لشبكات سبق الوصول إليها عبر بروتوكول DNAv4. تمّ التصدّي لهذه المشكلة من خلال تعطيل DNAv4 على شبكات Wi-Fi غير مشفرة.
CVE-ID
CVE-2015-3778: بييرز أوهانلون من معهد أكسفورد للإنترنت، جامعة أكسفورد (مشروع EPSRC Being There)
CloudKit
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكن تطبيق متطفل من الوصول إلى سجل مستخدم iCloud لمستخدم سبق تسجيل دخوله
الوصف: وجود تضارب حالة في CloudKit عند قيام مستخدمين بتسجيل الخروج. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للحالة.
CVE-ID
CVE-2015-3782 : ديبكانوال بلاها من جامعة تورنتو
CFPreferences
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكن تطبيق متطفل من قراءة تفضيلات التطبيق المدارة الأخرى
الوصف: وجود مشكلة في وضع حماية التطبيق التابع لطرف خارجي. تمّ التصدي لهذه المشكلة عن طريق تحسين ملف تعريف وضع الحماية التابع لجهة خارجية.
CVE-ID
CVE-2015-3793 : أندرياس واينلاين من Appthority Mobility Threat Team
تسجيل تعليمة برمجية
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكن تطبيق متطفل من تنفيذ تعليمة برمجية غير مسجلة
الوصف: وجود مشكلة سمحت بإلحاق تعليمة برمجية غير مسجلة بتعليمة برمجية مسجلة في ملف قابل للتنفيذ تم تصميمه خصيصًا. تمّ التصدي لهذه المشكلة عبر التحقق المحسّن من صحة توقيع التعليمة البرمجية.
CVE-ID
CVE-2015-3806 : TaiG Jailbreak Team
تسجيل تعليمة برمجية
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يسمح ملف قابل للتنفيذ تم تصميمه خصيصًا بتنفيذ تعليمة برمجية متطفلة غير موقّعة
الوصف: وجود مشكلة في طريقة تقييم ملفات متعددة البنية قابلة للتنفيذ مما سمح بتنفيذ تعليمة برمجية غير موقّعة. تمّ التصدي لهذه المشكلة من خلال التحقق المحسّن من صحة الملفات القابلة للتنفيذ.
CVE-ID
CVE-2015-3803 : TaiG Jailbreak Team
تسجيل تعليمة برمجية
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكن مستخدم محلي من تنفيذ تعليمة برمجية غير موقّعة
الوصف: وجود مشكلة تحقق من الصحة في معالجة ملفات Mach-O. تمّ التصدي لهذه المشكلة عن طريق إضافة عمليات تحقق إضافية.
CVE-ID
CVE-2015-3802 : TaiG Jailbreak Team
CVE-2015-3805 : TaiG Jailbreak Team
CoreMedia Playback
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي عرض ملف فيلم متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز
الوصف: وُجدت مشكلة تلف الذاكرة في "تشغيل CoreMedia". تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5777 : Apple
CVE-2015-5778 : Apple
CoreText
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد تؤدي معالجة ملف خطي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.
CVE-ID
CVE-2015-5755 : جون فيلاميل (@day6reak)، Yahoo Pentest Team
CVE-2015-5761 : جون فيلاميل (@day6reak)، Yahoo Pentest Team
DiskImages
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد تؤدي معالجة ملف DMG متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز باستخدام امتيازات النظام.
الوصف: وجود مشكلة تلف الذاكرة في تحليل صور DMG التالفة. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3800 : فرانك غرازيانو من Yahoo Pentest Team
FontParser
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد تؤدي معالجة ملف خطي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.
CVE-ID
CVE-2015-3804 : Apple
CVE-2015-5756 : جون فيلاميل (@day6reak)، Yahoo Pentest Team
CVE-2015-5775 : Apple
ImageIO
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد توؤدي معالجة ملف .tiff متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تحكمية
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات .tiff. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-5758 : Apple
ImageIO
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي تحليل محتوى ويب متطفل إلى الكشف عن ذاكرة المعالجة
الوصف: وجود مشكلة في الوصول إلى ذاكرة غير مهيأة أثناء معالجة ImageIO لصور PNG. تمّ التصدي لهذه المشكلة عبر التهيئة المحسّنة للذاكرة والتحقق الإضافي من صحة صور PNG.
CVE-ID
CVE-2015-5781 : ميشال زاليفسكي
ImageIO
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي تحليل محتوى ويب متطفل إلى الكشف عن ذاكرة المعالجة
الوصف: وجود مشكلة في الوصول إلى ذاكرة غير مهيأة أثناء معالجة ImageIO لصور TIFF. تمّ التصدي لهذه المشكلة عبر التهيئة المحسّنة للذاكرة والتحقق الإضافي من صحة صور TIFF.
CVE-ID
CVE-2015-5782 : ميشال زاليفسكي
IOKit
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي تحليل plist متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز باستخدام امتيازات النظام.
الوصف: وجود تلف الذاكرة عند معالجة plists تالفة. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3776 : تيدي ريد من Facebook Security، باتريك شتاين (@jollyjinx) منJinx Germany
IOHIDFamily
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وُجد تجاوز تخزين مؤقت للحد الأقصى في IOHIDFamily. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5774 : TaiG Jailbreak Team
Kernel
متوفر لما يلي: Apple TV (الجيل الثالث)
الأثر: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة في واجهة mach_port_space_info، والتي يُمكن أن تؤدي إلى الكشف عن تخطيط ذاكرة kernel. تمّ التصدي لهذه المشكلة عن طريق تعطيل واجهة mach_port_space_info.
CVE-ID
CVE-2015-3766 : سيريردلونغ من Aibaba Mobile Security Team، @PanguTeam
Kernel
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود تجاوز عدد صحيح في التعامل مع وظائف IOKit. تمّ التصدي لهذه المشكلة من خلال التحقق المحسّن من صحة وسيطات IOKit API.
CVE-ID
CVE-2015-3768 : إيلجا فان سبرونديل
Libc
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي معالجة تعبير عادي متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز
الوصف: وجود مشكلة تلف الذاكرة في مكتبة TRE. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3796 : إيان بير من Google Project Zero
CVE-2015-3797 : إيان بير من Google Project Zero
CVE-2015-3798 : إيان بير من Google Project Zero
Libinfo
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية.
الوصف: وجود مشكلة تلف الذاكرة عند معالجة مآخذ توصيل AF_INET6. تمّ التصدي لهذه المشكلة باستخدام المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5776 : Apple
libpthread
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وُجدت مشكلة تلف الذاكرة عند معالجة syscalls. تمّ التصدي لهذه المشكلة عبر الفحص المحسّن لحالة التأمين.
CVE-ID
CVE-2015-5757 : لوفنغ لي من Qihoo 360
libxml2
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي تحليل مستند XML متطفّل إلى الكشف عن معلومات مستخدم
الوصف: وجود مشكلة تلف ذاكرة في تحليل ملفات XML. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3807 : ميشال زاليفسكي
libxml2
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: وجود العديد من الثغرات الأمنية في إصدارات libxml2 الأقدم من 2.9.2، والتي قد يؤدي أشدها خطورة إلى السماح لمخترق بعيد من التسبب في منع الخدمة
الوصف: وجود العديد من الثغرات الأمنية في إصدارات libxml2 الأقدم من 2.9.2. تمت معالجتها عبر تحديث إصدار libxml2 إلى 2.9.2.
CVE-ID
CVE-2012-6685 : فيليكس غروبيرت من Google
CVE-2014-0191 : فيليكس غروبيرت من Google
CVE-2014-3660 : فيليكس غروبيرت من Google
libxpc
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تلف الذاكرة عند معالجة رسائل XPC التالفة. تمت تحسين هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-3795 : ماثيو رولي
libxslt
متوفر لما يلي: Apple TV (الجيل الرابع)
التأثير: قد تؤدي معالجة ملف XML متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وجدت مشكلة خاصة بخلط الأنواع في libxslt. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7995 : puzzor
Location Framework
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكن مستخدم محلي من تعديل أجزاء محمية من نظام الملفات
الوصف: تمت معالجة مشكلة رابط رمزي من خلال التحقق المحسّن من صحة المسار.
CVE-ID
CVE-2015-3759 : سيريردلونغ من Alibaba Mobile Security Team
Office Viewer
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي تحليل ملف XML متطفّل إلى الكشف عن معلومات مستخدم
الوصف: وجود مشكلة مرجع كيان خارجي عند تحليل ملف XML. تمّ التصدي لهذه المشكلة عبر التحليل المحسّن.
CVE-ID
CVE-2015-3784 : برونو موريسون من INTEGRITY S.A.
QL Office
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي تحليل مستند Office متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز
الوصف: وجود مشكلة تلف ذاكرة في تحليل مستندات office. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5773 : Apple
Sandbox_profiles
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يتمكن تطبيق متطفل من قراءة تفضيلات التطبيق المدارة الأخرى
الوصف: وجود مشكلة في وضع حماية التطبيق التابع لطرف خارجي. تمّ التصدي لهذه المشكلة عن طريق تحسين ملف تعريف وضع الحماية التابع لجهة خارجية.
CVE-ID
CVE-2015-5749 : أندرياس واينلاين من Appthority Mobility Threat Team
WebKit
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية
الوصف: وجود العديد من مشكلات تلف الذاكرة في WebKit. تمت معالجة هذه المشكلات عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-3730 : Apple
CVE-2015-3731 : Apple
CVE-2015-3732 : Apple
CVE-2015-3733 : Apple
CVE-2015-3734 : Apple
CVE-2015-3735 : Apple
CVE-2015-3736 : Apple
CVE-2015-3737 : Apple
CVE-2015-3738 : Apple
CVE-2015-3739 : Apple
CVE-2015-3740 : Apple
CVE-2015-3741 : Apple
CVE-2015-3742 : Apple
CVE-2015-3743 : Apple
CVE-2015-3744 : Apple
CVE-2015-3745 : Apple
CVE-2015-3746 : Apple
CVE-2015-3747 : Apple
CVE-2015-3748 : Apple
CVE-2015-3749 : Apple
WebKit
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد يؤدي محتوى ويب متطفل إلى التصفية المسبقة لبيانات صورة عبر الأصل
الوصف: ربما تم تصفية الصور التي تم إحضارها مسبقًا من خلال عناوين URL التي يتم إعادة توجيهها إلى مصدر data:image عبر الأصل. تمّ التصدي لهذه المشكلة من خلال التتبع المحسّن لتشويه اللوحة القماشية.
CVE-ID
CVE-2015-3753 : أنطونيو سانسو وداميان أنتيبا من Adobe
WebKit
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: يُمكن أن يؤدي محتوى ويب متطفّل إلى إطلاق طلبات نص عادي إلى أصل ضمن "أمان النقل الدقيق" لـ HTTP
الوصف: وجود مشكلة في عدم قيام طلبات تقرير "سياسة أمان المحتوى" بتنفيذ "أمان النقل الدقيق" لـ HTTP (HSTS). تمّ التصدي لهذه المشكلة عن طريق تنفيذ HSTS على CSP.
CVE-ID
CVE-2015-3750 : مونيكي نيشيمورا (nishimunea)
WebKit
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد تقوم طلبات تقرير "سياسة أمان المحتوى" بتسريب ملفات تعريف الارتباط
الوصف: وجود مشكلتان في كيفية إضافة ملفات تعريف الارتباط إلى طلبات تقرير "سياسة أمان المحتوى". تم إرسال ملفات تعريف الارتباط في طلبات تقرير عبر الأصل في عملية انتهاك للمعايير. تم إرسال ملفات تعريف الارتباط التي تم تعيينها أثناء الاستعراض العادي في استعراض خاص. تمت معالجة هذه المشكلات عبر المعالجة المحسّنة لملفات تعريف الارتباط.
CVE-ID
CVE-2015-3752 : مونيكي نيشيمورا (nishimunea)
WebKit
متوفر لما يلي: Apple TV (الجيل الثالث)
التأثير: قد ينتهك تحميل الصور توجيه "سياسة أمان المحتوى" لموقع ويب
الوصف: كانت هناك مشكلة عند معالجة محتوى الويب باستخدام عناصر التحكم في الفيديو تؤدي إلى تحميل صور متداخلة في عناصر الكائن الأمر الذي يمثّل انتهاكًا لتوجيه "سياسة أمان المحتوى". تمّ التصدي لهذه المشكلة من خلال الإنفاذ المحسّن لـ "سياسة أمان المحتوى".
CVE-ID
CVE-2015-3751 : مونيكي نيشيمورا (nishimunea)
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.