Om sikkerhedsindholdet i tvOS 10.1
I dette dokument beskrives sikkerhedsindholdet i tvOS 10.1.
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
tvOS 10.1
Lyd
Fås til: Apple TV (4. generation)
Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2016-7658: Haohao Kong fra Keen Lab (@keen_lab), Tencent
CVE-2016-7659: Haohao Kong fra Keen Lab (@keen_lab), Tencent
CoreFoundation
Fås til: Apple TV (4. generation)
Effekt: Behandling af skadelige strenge kan forårsage uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af strenge. Problemet er løst via forbedret kontrol af grænser.
CVE-2016-7663: En anonym programmør
CoreGraphics
Fås til: Apple TV (4. generation)
Effekt: Behandling af et skadeligt skriftarkiv kan medføre uventet programlukning
Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.
CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM
Eksterne CoreMedia-skærme
Fås til: Apple TV (4. generation)
Effekt: Et lokalt program kan køre vilkårlig kode i mediaserver-daemon
Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.
CVE-2016-7655: Keen Lab, som arbejder med Trend Micros Zero Day Initiative
Afspilning af CoreMedia
Fås til: Apple TV (4. generation)
Effekt: Behandling af et skadeligt .mp4-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-7588: dragonltx fra Huawei 2012 Laboratories
CoreText
Fås til: Apple TV (4. generation)
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i behandlingen af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.
CVE-2016-7595: riusksk(泉哥) fra Tencent Security Platform Department
CoreText
Fås til: Apple TV (4. generation)
Effekt: Behandling af en skadelig streng kan medføre et Denial of Service-angreb
Beskrivelse: Et problem med gengivelse af overlappende områder er løst via forbedret godkendelse.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) fra Digital Unit (dgunit.com)
Diskbilleder
Fås til: Apple TV (4. generation)
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2016-7616: daybreaker@Minionz, der arbejder med Trend Micros Zero Day Initiative
FontParser
Fås til: Apple TV (4. generation)
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i behandlingen af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.
CVE-2016-4691: riusksk(泉哥) fra Tencent Security Platform Department
ICU
Fås til: Apple TV (4. generation)
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-7594: André Bargull
ImageIO
Fås til: Apple TV (4. generation)
Effekt: En ekstern hacker kan lække hukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2016-7643: Yangkang (@dnpushme) fra Qihoo360 Qex Team
IOHIDFamily
Fås til: Apple TV (4. generation)
Effekt: Et lokalt program med systemrettigheder kan køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2016-7591: daybreaker fra Minionz
IOKit
Fås til: Apple TV (4. generation)
Effekt: Et program kan muligvis læse kernehukommelsen
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2016-7657: Keen Lab, der arbejder med Trend Micros Zero Day Initiative
IOKit
Fås til: Apple TV (4. generation)
Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Et problem med delt hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-7714: Qidan He (@flanker_hqd) fra KeenLab, der arbejder med Trend Micros Zero Day Initiative
JavaScriptCore
Fås til: Apple TV (4. generation)
Effekt: Et script, som køres i en JavaScript-sandbox, kan muligvis få adgang til status udenfor sandbox
Beskrivelse: Der var et godkendelsesproblem i behandlingen af JavaScript. Problemet er løst ved forbedret godkendelse.
CVE-2016-4695: Mark S. Miller fra Google
Kernel
Fås til: Apple TV (4. generation)
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2016-7606: @cocoahuke, Chen Qin fra Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer fra Google Project Zero
Kernel
Fås til: Apple TV (4. generation)
Effekt: Et program kan muligvis læse kernehukommelsen
Beskrivelse: Et problem med utilstrækkelig initialisering er løst ved at initialisere hukommelse, der returneres til brugerområdet, korrekt.
CVE-2016-7607: Brandon Azad
Kernel
Fås til: Apple TV (4. generation)
Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet
Beskrivelse: Der var et Denial of Service-problem, som er løst ved forbedret hukommelsesbehandling.
CVE-2016-7615: National Cyber Security Centre (NCSC) i Storbritannien
Kernel
Fås til: Apple TV (4. generation)
Effekt: En lokal bruger kan fremkalde uventet systemlukning eller kørsel af vilkårlig kode i kernen
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2016-7621: Ian Beer fra Google Project Zero
Kernel
Fås til: Apple TV (4. generation)
Effekt: En lokal bruger kan opnå rodrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2016-7637: Ian Beer fra Google Project Zero
Kernel
Fås til: Apple TV (4. generation)
Effekt: Et program kan muligvis medføre et Denial of Service-angreb
Beskrivelse: Der var et Denial of Service-problem, som er løst ved forbedret hukommelsesbehandling.
CVE-2016-7647: Lufeng Li fra Qihoo 360 Vulcan Team
libarchive
Fås til: Apple TV (4. generation)
Effekt: En lokal hacker kan muligvis overskrive eksisterende arkiver
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2016-7619: En anonym programmør
Strømstyring
Fås til: Apple TV (4. generation)
Effekt: En lokal bruger kan opnå rodrettigheder
Beskrivelse: Et problem med mach_port-navnehenvisninger er løst via forbedret godkendelse.
CVE-2016-7661: Ian Beer fra Google Project Zero
Profiler
Fås til: Apple TV (4. generation)
Effekt: Åbning af et skadeligt certifikat kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af certifikatbeskrivelser. Problemet er løst ved forbedret godkendelse af input.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Sikkerhed
Fås til: Apple TV (4. generation)
Effekt: En hacker kan udnytte svagheder i 3DES-kryptografialgoritmen
Beskrivelse: 3DES er fjernet som standardchifferen.
CVE-2016-4693: Gaëtan Leurent og Karthikeyan Bhargavan fra INRIA Paris
Sikkerhed
Fås til: Apple TV (4. generation)
Effekt: En hacker med en privilegeret netværksposition kan muligvis medføre et Denial of Service-angreb
Beskrivelse: Der var et godkendelsesproblem i behandlingen af URL-svaradresser til OCSP. Problemet er løst ved kontrol af OCSP-tilbagekaldelsesstatus efter CA-godkendelse og begrænsning af antallet af OCSP-anmodninger pr. certifikat.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Sikkerhed
Fås til: Apple TV (4. generation)
Effekt: Certifikater kan uventet behandles som pålidelige
Beskrivelse: Der var et problem med certifikatbehandlingen under certifikatgodkendelsen. Problemet er løst ved yderligere godkendelse af certifikater.
CVE-2016-7662: Apple
syslog
Fås til: Apple TV (4. generation)
Effekt: En lokal bruger kan opnå rodrettigheder
Beskrivelse: Et problem med mach_port-navnehenvisninger er løst via forbedret godkendelse.
CVE-2016-7660: Ian Beer fra Google Project Zero
WebKit
Fås til: Apple TV (4. generation)
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
Fås til: Apple TV (4. generation)
Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2016-4743: Alan Cutter
WebKit
Fås til: Apple TV (4. generation)
Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af brugeroplysninger
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2016-7586: Boris Zbarsky
WebKit
Fås til: Apple TV (4. generation)
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret statusadministration.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang fra Baidu Security Lab, som arbejder med Trend Micros Zero Day Initiative
CVE-2016-7611: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative
CVE-2016-7639: Tongbo Luo fra Palo Alto Networks
CVE-2016-7640: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
CVE-2016-7641: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
CVE-2016-7642: Tongbo Luo fra Palo Alto Networks
CVE-2016-7645: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
CVE-2016-7646: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
CVE-2016-7648: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
CVE-2016-7649: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
CVE-2016-7654: Keen Lab, som arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: Apple TV (4. generation)
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab, som arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: Apple TV (4. generation)
Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse
Beskrivelse: Der var et problem med adgangen til ikke-initialiseret hukommelse, som er løst via forbedret hukommelsesinitialisering.
CVE-2016-7598: Samuel Groß
WebKit
Fås til: Apple TV (4. generation)
Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af brugeroplysninger
Beskrivelse: Der opstod et problem ved behandlingen af HTTP-omdirigeringer. Problemet er løst via forbedret krydsgodkendelse af oprindelse.
CVE-2016-7599: Muneaki Nishimura (nishimunea) fra Recruit Technologies Co., Ltd.
WebKit
Fås til: Apple TV (4. generation)
Effekt: Behandlingen af skadeligt webindhold kan forårsage en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2016-7632: Jeonghoon Shin
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.