Informace o bezpečnostním obsahu tvOS 10

Tento dokument popisuje bezpečnostní obsah aktualizace tvOS 10.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.

tvOS 10

Vydáno 13. září 2016

Zvuk

K dispozici pro: Apple TV (4. generace)

Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.

Popis: Problém s poškozením paměti byl vyřešen lepší správou paměti.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park a Taekyoung Kwon z týmu Information Security Lab, Jonsejská univerzita

Záznam přidán 20. září 2016

CFNetwork

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést k vyzrazení informací uživatele.

Popis: V parsování hlavičky set-cookie existoval problém s ověřováním vstupů. Tento problém byl vyřešen lepší kontrolou ověřování.

CVE-2016-4708: Dawid Czagan ze společnosti Silesia Security Lab

Záznam přidán 20. září 2016

CoreCrypto

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit spustit libovolný kód.

Popis: Problém se zápisem mimo rozsah byl vyřešen odstraněním škodlivého kódu.

CVE-2016-4712: Gergo Koteles

Záznam přidán 20. září 2016

FontParser

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Ve zpracování souborů písem docházelo k přetečení vyrovnávací paměti. Tento problém byl vyřešen lepší kontrolou rozsahu.

CVE-2016-4718: Apple

Záznam přidán 20. září 2016

IOAcceleratorFamily

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést k odhalení procesní paměti.

Popis: Problém s poškozením paměti byl vyřešen lepším ověřováním vstupů.

CVE-2016-4725: Rodger Combs ze společnosti Plex, Inc.

Záznam přidán 20. září 2016

IOAcceleratorFamily

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen lepší správou paměti.

CVE-2016-4726: anonymní výzkumník

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém se zpracováním zámku byl vyřešen lepší správou zámku.

CVE-2016-4772: Marc Heuse ze společnost mh-sec

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.

Popis: Existovalo několik problémů se čtením mimo rozsah, které vedly k odhalení paměti jádra. Tyto problémy byly vyřešeny lepším ověřováním vstupů.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen lepší správou paměti.

CVE-2016-4775: Brandon Azad

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Přístup přes nedůvěryhodný ukazatel byl vyřešen odstraněním dotčeného kódu.

CVE-2016-4777: Lufeng Li z týmu Qihoo 360 Vulcan

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Několik problémů s poškozením paměti bylo vyřešeno lepší správou paměti.

CVE-2016-4778: CESG

Záznam přidán 20. září 2016

libxml2

K dispozici pro: Apple TV (4. generace)

Dopad: V knihovně libxml2 docházelo k několika problémům, z nichž ty nejzávažnější můžou vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno lepší správou paměti.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Záznam přidán 20. září 2016

libxslt

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen lepší správou paměti.

CVE-2016-4738: Nick Wellnhofer

Záznam přidán 20. září 2016

Zabezpečení

K dispozici pro: Apple TV (4. generace)

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: V podepsaných bitových kopiích disků existoval problém s ověřováním. Problém byl vyřešen lepším ověřováním velikosti.

CVE-2016-4753: Mark Mentovai ze společnosti Google Inc.

Záznam přidán 20. září 2016

WebKit

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Ve zpracování prototypů chyb existoval problém s parsováním. Tento problém byl vyřešen lepším ověřováním.

CVE-2016-4728: Daniel Divricean

Záznam přidán 20. září 2016

WebKit

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno lepší správou paměti.

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: Natalie Silvanovich z týmu Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo ze společnosti Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Hnutí Anonymous ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro

Záznam přidán 20. září 2016

WebKit

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou stavu.

CVE-2016-4733: Natalie Silvanovich z týmu Google Project Zero

CVE-2016-4765: Apple

Záznam přidán 20. září 2016

WebKit

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou stavu.

CVE-2016-4764: Apple

Záznam přidán 3. listopadu 2016

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: