Informace o bezpečnostním obsahu tvOS 9.2
Tento dokument popisuje bezpečnostní obsah aktualizace tvOS 9.2.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
tvOS 9.2
FontParser
K dispozici pro: Apple TV (4. generace)
Dopad: Otevření škodlivého PDF souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Existoval problém s poškozením paměti, který byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2016-1740: HappilyCoded (ant4g0nist a r3dsm0k3) ve spolupráci s iniciativou Zero Day Initiative (ZDI) společnosti Trend Micro
HTTPProtocol
K dispozici pro: Apple TV (4. generace)
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Knihovna nghttp2 obsahovala ve verzích před 1.6.0 několik bezpečnostních slabin, přičemž ta nejzávažnější mohla vést ke vzdálenému spuštění kódu. Problémy byly vyřešeny aktualizací nghttp2 na verzi 1.6.0.
CVE-ID
CVE-2015-8659
IOHIDFamily
K dispozici pro: Apple TV (4. generace)
Dopad: Aplikace může rozpoznat rozvržení paměti jádra.
Popis: Existoval problém s poškozením paměti, který byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2016-1748 : Brandon Azad
Jádro
K dispozici pro: Apple TV (4. generace)
Dopad: Aplikace můžou spouštět libovolný kód s oprávněními k jádru.
Popis: Existoval problém s použitím ukazatele po uvolnění, který byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2016-1750 : CESG
Jádro
K dispozici pro: Apple TV (4. generace)
Dopad: Aplikace můžou spouštět libovolný kód s oprávněními k jádru.
Popis: Existovalo několik problémů s přetečením celých čísel, které byly vyřešeny lepším ověřováním vstupů.
CVE-ID
CVE-2016-1753 : Juwei Lin ze společnosti Trend Micro ve spolupráci se Zero Day Initiative (ZDI) společnosti Trend Micro
Jádro
K dispozici pro: Apple TV (4. generace)
Dopad: Aplikace může obejít podepisování kódu.
Popis: Docházelo k problému s oprávněními, při kterém bylo nesprávně přidělováno oprávnění ke spuštění. Problém byl vyřešen lepším ověřováním oprávnění.
CVE-ID
CVE-2016-1751 : Eric Monti ze společnosti Square Mobile Security
Jádro
K dispozici pro: Apple TV (4. generace)
Dopad: Aplikace můžou spouštět libovolný kód s oprávněními k jádru.
Popis: Existovalo několik problémů s poškozením paměti, které byly vyřešeny vylepšením správy paměti.
CVE-ID
CVE-2016-1754: Lufeng Li z týmu Qihoo 360 Vulcan
CVE-2016-1755: Ian Beer z týmu Google Project Zero
Jádro
K dispozici pro: Apple TV (4. generace)
Dopad: Aplikace může způsobit odmítnutí služby.
Popis: Existoval problém s odmítnutím služby, který byl vyřešen lepším ověřováním.
CVE-ID
CVE-2016-1752: CESG
libxml2
K dispozici pro: Apple TV (4. generace)
Dopad: Zpracování škodlivého XML souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Existovalo několik problémů s poškozením paměti, které byly vyřešeny vylepšením správy paměti.
CVE-ID
CVE-2015-1819
CVE-2015-5312: David Drysdale ze společnosti Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany ze společnosti Google
CVE-2015-7942: Kostya Serebryany ze společnosti Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1762
Zabezpečení
K dispozici pro: Apple TV (4. generace)
Dopad: Zpracování škodlivého certifikátu může vést ke spuštění libovolného kódu.
Popis: V dekodéru ASN.1 docházelo k problému s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2016-1950: Francis Gabriel ze společnosti Quarkslab
TrueTypeScaler
K dispozici pro: Apple TV (4. generace)
Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.
Popis: Při zpracovávání souborů písem docházelo k problému s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2016-1775 : 0x1byte ve spolupráci se Zero Day Initiative (ZDI) společnosti Trend Micro
WebKit
K dispozici pro: Apple TV (4. generace)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Existoval problém s poškozením paměti, který byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2016-1783 : Mihai Parparita ze společnosti Google
Historie WebKitu
K dispozici pro: Apple TV (4. generace)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Existoval problém s vyčerpáním prostředků, který byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2016-1784 : Moony Li a Jack Tang ze společnosti TrendMicro a 李普君 z týmu 无声信息技术PKAV (PKAV.net)
Wi-Fi
K dispozici pro: Apple TV (4. generace)
Dopad: Útočník s vysokými oprávněními v síti může spouštět libovolný kód.
Popis: U daných hodnot EtherType docházelo k problému s ověřováním rámců a poškozením paměti. Problém byl vyřešen přidáním dodatečného ověřování hodnoty EtherType a vylepšením správy paměti.
CVE-ID
CVE-2016-0801: Anonymní výzkumník
CVE-2016-0802: Anonymní výzkumník
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.