Informace o bezpečnostním obsahu tvOS 10

Tento dokument popisuje bezpečnostní obsah aktualizace tvOS 10.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

tvOS 10

Zvuk

K dispozici pro: Apple TV (4. generace)

Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park a Taekyoung Kwon z týmu Information Security Lab, Jonsejská univerzita

CFNetwork

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést k odhalení uživatelských informací.

Popis: V parsování hlavičky set-cookie existoval problém s ověřováním vstupů. Problém byl vyřešen vylepšením kontroly ověřování.

CVE-2016-4708: Dawid Czagan ze společnosti Silesia Security Lab

CoreCrypto

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit spustit libovolný kód.

Popis: Problém se zápisem mimo rozsah byl vyřešen odstraněním zranitelného kódu.

CVE-2016-4712: Gergo Koteles

FontParser

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Ve zpracování souborů písem existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2016-4718: Apple

IOAcceleratorFamily

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést k odhalení procesní paměti.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2016-4725: Rodger Combs ze společnosti Plex, Inc.

IOAcceleratorFamily

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2016-4726: anonymní výzkumník

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém se zpracováním zámku byl vyřešen vylepšením správy zámku.

CVE-2016-4772: Marc Heuse ze společnost mh-sec

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.

Popis: Existovalo několik problémů se čtením mimo rozsah, které vedly k odhalení paměti jádra. Tyto problémy byly vyřešeny vylepšením ověřováním vstupů.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2016-4775: Brandon Azad

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Přístup přes nedůvěryhodný ukazatel byl vyřešen odstraněním dotčeného kódu.

CVE-2016-4777: Lufeng Li z týmu Qihoo 360 Vulcan

Jádro

K dispozici pro: Apple TV (4. generace)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2016-4778: CESG

libxml2

K dispozici pro: Apple TV (4. generace)

Dopad: V knihovně libxml2 existovalo několik problémů, z nichž ty nejzávažnější mohly vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxslt

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2016-4738: Nick Wellnhofer

Zabezpečení

K dispozici pro: Apple TV (4. generace)

Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.

Popis: V podepsaných bitových kopiích disků existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování velikosti.

CVE-2016-4753: Mark Mentovai ze společnosti Google Inc.

WebKit

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Ve zpracování prototypů chyb existoval problém s parsováním. Problém byl vyřešen lepším ověřováním.

CVE-2016-4728: Daniel Divricean

WebKit

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: natashenka z týmu Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo ze společnosti Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Hnutí Anonymous ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro

WebKit

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy stavu.

CVE-2016-4733: natashenka z týmu Google Project Zero

CVE-2016-4765: Apple

WebKit

K dispozici pro: Apple TV (4. generace)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy stavu.

CVE-2016-4764: Apple