Om sikkerhedsindholdet i tvOS 10.0.1

I dette dokument beskrives sikkerhedsindholdet i tvOS 10.0.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

tvOS 10.0.1

Udgivet 24. oktober 2016

AppleMobileFileIntegrity

Fås til: Apple TV (4. generation)

Effekt: Et signeret eksekverbart arkiv kan udskifte kode med det samme team-id

Beskrivelse: Der var et godkendelsesproblem ved behandlingen af kodesignaturer. Problemet er løst ved yderligere godkendelse.

CVE-2016-7584: Mark Mentovai og Boris Vidolov fra Google Inc.

Post tilføjet 6. december 2016

CFNetwork-proxyservere

Fås til: Apple TV (4. generation)

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var et problem med phishing i forbindelse med håndtering af proxyserverens legitimationsoplysninger. Problemet blev løst ved at fjerne uopfordrede anmodninger om legitimationsoplysninger til proxysereveren.

CVE-2016-7579: Jerry Decime

CoreGraphics

Fås til: Apple TV (4. generation)

Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4673: Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent

FontParser

Fås til: Apple TV (4. generation)

Effekt: Parsing af et skadeligt skriftarkiv kan medføre afsløring af følsomme brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst ved forbedret kontrol af grænser.

CVE-2016-4660: Ke Liu fra Tencent's Xuanwu Lab

FontParser

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode 

Beskrivelse: Der var et bufferoverløb ved håndteringen af skriftarkiver. Problemet er løst ved forbedret kontrol af grænser.

CVE-2016-4688: Simon Huang fra Alipay company, thelongestusernameofall@gmail.com

Post tilføjet 27. november 2016

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis afsløre kernehukommelsen

Beskrivelse: Et valideringsproblem blev løst ved hjælp af forbedret rensning af input.

CVE-2016-4680: Max Bazaliy fra Lookout og in7egral

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et lokalt program kan muligvis køre vilkårlig kode med rodrettigheder

Beskrivelse: Der var flere problemer med objekters levetid i forbindelse med skabelse af nye processer. Problemerne blev løst via forbedret godkendelse.

CVE-2016-7613: Ian Beer fra Google Project Zero

Post tilføjet 1. november 2016

libarchive

Fås til: Apple TV (4. generation)

Effekt: Et skadeligt arkiv kan muligvis overskrive vilkårlige filer

Beskrivelse: Der var et problem med stigodkendelseslogikken for symbolske henvisninger. Problemet blev løst via forbedret stirensning.

CVE-2016-4679: Omer Medan fra enSilo Ltd

libxpc

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder

Beskrivelse: Der var et konfigurationsproblem, som blev løst via yderligere begrænsninger.

CVE-2016-4675: Ian Beer fra Google Project Zero

Sandbox-profiler

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis modtage metadata for mapper med fotos

Beskrivelse: Der var et adgangsproblem, som er løst ved yderligere sandkassebegrænsninger på programmer fra tredjeparter.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA i Bukarest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Sandbox-profiler

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis modtage metadata for mapper med lydoptagelser

Beskrivelse: Der var et adgangsproblem, som er løst ved yderligere sandkassebegrænsninger på programmer fra tredjeparter.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA i Bukarest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Systemstart

Fås til: Apple TV (4. generation)

Effekt: En lokal bruger kan fremkalde pludselig systemlukning eller kørsel af vilkårlig kode i kernen

Beskrivelse: Der var flere problemer med godkendelse af input i MIG-genereret kode. Problemerne er løst ved forbedret godkendelse.

CVE-2016-4669: Ian Beer fra Google Project Zero

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af brugeroplysninger

Beskrivelse: Et problem med godkendelse af input er løst ved forbedret funktionsstyring.

CVE-2016-4613: Chris Palmer

Post opdateret 27. oktober 2016

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med ondsindet kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

CVE-2016-4666: Apple

CVE-2016-4677: En anonym forsker, som arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med ondsindet kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

CVE-2016-7578: Apple

Post tilføjet 27. oktober 2016

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: