Om sikkerhedsindholdet i tvOS 9.2.2

I dette dokument beskrives sikkerhedsindholdet i tvOS 9.2.2.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

tvOS 9.2.2

Udgivet 18. juli 2016

Legitimationsoplysninger for CFNetwork

Fås til: Apple TV (4. generation)

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var et nedgraderingsproblem i forbindelse med adgangsoplysninger til HTTP-godkendelse, der gemmes i Nøglering. Problemet er løst ved at lagre godkendelsestyperne sammen med loginoplysningerne.

CVE-2016-4644: Jerry Decime koordineret via CERT

CFNetwork-proxyservere

Fås til: Apple TV (4. generation)

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var et godkendelsesproblem ved parsing af 407-svar. Problemet er løst ved forbedret svargodkendelse.

CVE-2016-4643: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University; Jerry Decime koordineret via CERT

CFNetwork-proxyservere

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis utilsigtet sende en ikke-krypteret adgangskode via netværket

Beskrivelse: Proxygodkendelse rapporterede fejlagtigt, at HTTP-proxyservere modtog loginoplysninger sikkert. Problemet er løst ved forbedrede advarsler.

CVE-2016-4642: Jerry Decime koordineret via CERT

CoreGraphics

Fås til: Apple TV (4. generation)

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4637: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: Apple TV (4. generation)

Effekt: En ekstern hacker kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4632: Evgeny Sidorov fra Yandex

ImageIO

Fås til: Apple TV (4. generation)

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4631: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7705: Craig Young fra Tripwire VERT

Post tilføjet 30. november 2017

IOAcceleratorFamily

Fås til: Apple TV (4. generation)

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er blevet rettet gennem forbedret validering.

CVE-2016-4627: Ju Zhu fra Trend Micro

IOHIDFamily

Fås til: Apple TV (4. generation)

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-4626: Stefan Esser fra SektionEins

Kernel

Fås til: Apple TV (4. generation)

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1863: Ian Beer fra Google Project Zero

CVE-2016-4653: Ju Zhu fra Trend Micro

CVE-2016-4582: Shrek_wzw og Proteas fra Qihoo 360 Nirvan Team

Kernel

Fås til: Apple TV (4. generation)

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) fra KeenLab(@keen_lab), Tencent

libxml2

Fås til: Apple TV (4. generation)

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et adgangsproblem i forbindelse med parsing af skadelige XML-arkiver. Problemet er løst ved forbedret godkendelse af input.

CVE-2016-4449: Kostya Serebryany

libxml2

Fås til: Apple TV (4. generation)

Effekt: Flere sikkerhedsrisici i libxml2

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4447: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Post opdateret 5. juni 2017

libxslt

Fås til: Apple TV (4. generation)

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Post opdateret 11. april 2017

Sandbox-profiler

Fås til: Apple TV (4. generation)

Effekt: Et lokalt program kan muligvis få adgang til proceslisten

Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved at indføre yderligere begrænsninger.

CVE-2016-4594: Stefan Esser fra SektionEins

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4586: Apple

CVE-2016-4588: Apple

CVE-2016-4589: Tongbo Luo og Bo Qu fra Palo Alto Networks

CVE-2016-4622: Samuel Gross, som arbejder med Trend Micros Zero Day Initiative

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af skadeligt webindhold kan forårsage videregivelse af billeddata fra et andet websted

Beskrivelse: Der var et problem med timing i behandlingen af SVG. Problemet er løst ved forbedret godkendelse.

CVE-2016-4583: Roeland Krak

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Der var et problem med hukommelsesinitialisering, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4587: Apple

WebKit

Fås til: Apple TV (4. generation)

Effekt: Indlæsning af et skadeligt websted kan medføre afsløring af følsomme data

Beskrivelse: Der var problemer med tilladelser i forbindelse med håndteringen af lokalitetsvariablen. Dette blev rettet via yderligere tjek af ejerskab.

CVE-2016-4591: ma.la fra LINE Corporation

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af skadeligt webindhold kan muligvis fremkalde denial of service i systemet

Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4592: Mikhail

WebKit-sideindlæsning

Fås til: Apple TV (4. generation)

Effekt: Behandling af skadeligt webindhold kan forårsage kørsel af

vilkårlig kode

Beskrivelse: Der var flere problemer med hukommelsesforbrug, som er løst

ved forbedret hukommelseshåndtering.

CVE-2016-4584: Chris Vienneau

WebKit-sideindlæsning

Fås til: Apple TV (4. generation)

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et problem med scripting på tværs af websteder i omdirigering af URL-adresser i Safari. Problemet er løst ved forbedret godkendelse af URL-adresser under omdirigering.

CVE-2016-4585: Takeshi Terada fra Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: