Om sikkerhedsindholdet i tvOS 10.2

I dette dokument beskrives sikkerhedsindholdet i tvOS 10.2.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

tvOS 10.2

Udgivet 27. marts 2017

Lyd

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2430: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

CVE-2017-2462: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

Carbon

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) fra Tencent Security Platform Department

CoreGraphics

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: En uendelig rekursion blev løst via forbedret statusadministration.

CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department

CoreGraphics

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2444: Mei Wang fra 360 GearTeam

CoreText

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Fås til: Apple TV (4. generation)

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Fås til: Apple TV (4. generation)

Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)

Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.

CVE-2017-2461: En anonym programmør, Isaac Archambault fra IDAoADI

FontParser

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Fås til: Apple TV (4. generation)

Effekt: Parsing af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Fås til: Apple TV (4. generation)

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Fås til: Apple TV (4. generation)

Effekt: En skadelig HTTP/2-server kan være årsag til udefineret adfærd

Beskrivelse: Der var flere problemer i nghttp2-versioner før 1.17.0. Disse blev løst ved at opdatere nghttp2 til version 1.17.0.

CVE-2017-2428

Post opdateret 28. marts 2017

ImageIO

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent

ImageIO

Fås til: Apple TV (4. generation)

Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2432: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

ImageIO

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2467

ImageIO

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt billede kan medføre pludselig programlukning

Beskrivelse: Der var et out-of-bounds-læseproblem i LibTIFF-versioner før 4.0.7. Problemet er løst ved opdatering af LibTIFF i ImageIO til version 4.0.7.

CVE-2016-3619

JavaScriptCore

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2491: Apple

Post tilføjet 2. maj 2017

JavaScriptCore

Fås til: Apple TV (4. generation)

Effekt: Behandling af en webside med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et problem med prototype er løst ved forbedret logik.

CVE-2017-2492: lokihardt fra Google Project Zero

Post opdateret 24. april 2017

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2017-2440: En anonym programmør

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder

Beskrivelse: En konkurrencetilstand er løst via forbedret hukommelseshåndtering.

CVE-2017-2456: lokihardt fra Google Project Zero

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2472: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2473: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et off-by-one-problem er løst via forbedret kontrol af grænser.

CVE-2017-2474: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En race condition er løst ved forbedret låsning.

CVE-2017-2478: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.

CVE-2017-2482: Ian Beer fra Google Project Zero

CVE-2017-2483: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2490: Ian Beer fra Google Project Zero, Englands National Cyber Security Centre (NCSC)

Post tilføjet 31. marts 2017

Tastaturer

Fås til: Apple TV (4. generation)

Effekt: Et program kan køre vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-2458: Shashank (@cyberboyIndia)

Nøglering

Fås til: Apple TV (4. generation)

Effekt: En hacker, som er i stand til at opsnappe TLS-forbindelser, kan være i stand til hemmeligt at læse beskyttet iCloud-nøglering.

Beskrivelse: iCloud-nøglering kunne ikke godkende OTR-pakkers autenticitet under visse omstændigheder. Problemet er løst ved forbedret godkendelse.

CVE-2017-2448: Alex Radocea fra Longterm Security, Inc.

Post opdateret 30. marts 2017

libarchive

Fås til: Apple TV (4. generation)

Effekt: En lokal hacker kan ændre arkivsystemtilladelser for vilkårlige biblioteker

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2017-2390: Omer Medan fra enSilo Ltd

libc++abi

Fås til: Apple TV (4. generation)

Effekt: Demangling af et skadeligt C++-program kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2441

libxslt

Fås til: Apple TV (4. generation)

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-5029: Holger Fuhrmannek

Post tilføjet 28. marts 2017

Sikkerhed

Fås til: Apple TV (4. generation)

Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.

Sikkerhed

Fås til: Apple TV (4. generation)

Effekt: Behandling af et skadeligt x509-certifikatarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af certifikater. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var et problem med prototypeadgang, som er løst ved forbedret håndtering af undtagelser.

CVE-2017-2386: André Bargull

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric fra Google Project Zero, Zheng Huang fra Baidu Security Lab, som arbejder med Trend Micros Zero Day Initiative

CVE-2017-2455: Ivan Fratric fra Google Project Zero

CVE-2017-2459: Ivan Fratric fra Google Project Zero

CVE-2017-2460: Ivan Fratric fra Google Project Zero

CVE-2017-2464: Natalie Silvanovich fra Google Project Zero, Jeonghoon Shin

CVE-2017-2465: Zheng Huang og Wei Yuan fra Baidu Security Lab

CVE-2017-2466: Ivan Fratric fra Google Project Zero

CVE-2017-2468: lokihardt fra Google Project Zero

CVE-2017-2469: lokihardt fra Google Project Zero

CVE-2017-2470: lokihardt fra Google Project Zero

CVE-2017-2476: Ivan Fratric fra Google Project Zero

CVE-2017-2481: 0011, der arbejder med Trend Micros Zero Day Initiative

Post opdateret 20. juni 2017

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.

CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tencent.com)

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til et højt forbrug af hukommelse

Beskrivelse: Der var et problem med ukontrolleret hukommelsesforbrug, som er løst ved forbedret behandling af regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Fås til: Apple TV (4. generation)

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et godkendelsesproblem ved behandling af sideindlæsning. Problemet er løst ved forbedret logik.

CVE-2017-2367: lokihardt fra Google Project Zero

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Der opstod et logisk problem i håndteringen af frame-objekter. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2017-2445: lokihardt fra Google Project Zero

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Der opstod et logisk problem i håndteringen af strict mode-funktioner. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2017-2446: Natalie Silvanovich fra Google Project Zero

WebKit

Fås til: Apple TV (4. generation)

Effekt: Indlæsning af et skadeligt websted kan udgøre en risiko for brugeroplysninger

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2447: Natalie Silvanovich fra Google Project Zero

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2463: Kai Kang (4B5F5F4B) fra Tencents Xuanwu Lab (tencent.com), der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 28. marts 2017

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Der opstod et logisk problem i håndteringen af frames. Problemet er løst ved forbedret statusadministration.

CVE-2017-2475: lokihardt fra Google Project Zero

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var et godkendelsesproblem i håndteringen af elementer. Problemet er løst ved forbedret godkendelse.

CVE-2017-2479: lokihardt fra Google Project Zero

Post tilføjet 28. marts 2017

WebKit

Fås til: Apple TV (4. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var et godkendelsesproblem i håndteringen af elementer. Problemet er løst ved forbedret godkendelse.

CVE-2017-2480: lokihardt fra Google Project Zero

CVE-2017-2493: lokihardt fra Google Project Zero

Post opdateret 24. april 2017

Yderligere anerkendelser

XNU

Vi vil gerne takke Lufeng Li fra Qihoo 360 Vulcan Team for dennes assistance.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: