Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 10.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 10.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

tvOS 10,2

Κυκλοφόρησε στις 27 Μαρτίου 2017

Ήχος

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2430: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-2462: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Carbon

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου .dfont μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) του Tencent Security Platform Department

CoreGraphics

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Μια ατέρμονη αναδρομή αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2417: riusksk (泉哥) του Tencent Security Platform Department

CoreGraphics

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2017-2444: Mei Wang του 360 GearTeam

CoreText

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος κειμένου μπορεί να προκαλέσει άρνηση υπηρεσίας εφαρμογής

Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2017-2461: ένας ανώνυμος ερευνητής, Isaac Archambault του IDAoADI

FontParser

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2017-2487: riusksk (泉哥) του Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) του Tencent Security Platform Department

FontParser

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου γραμματοσειράς ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2017-2407: riusksk (泉哥) του Tencent Security Platform Department

FontParser

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Ένας κακόβουλος διακομιστής HTTP/2 ενδέχεται να προκαλέσει ακαθόριστη συμπεριφορά

Περιγραφή: Υπήρχαν πολλά προβλήματα στο nghttp2 πριν την έκδοση 1.17.0. Αυτά αντιμετωπίστηκαν με την ενημέρωση του nghttp2 στην έκδοση 1.17.0.

CVE-2017-2428

Η καταχώριση ενημερώθηκε στις 28 Μαρτίου 2017

ImageIO

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) του KeenLab, Tencent

ImageIO

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2432: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

ImageIO

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2467

ImageIO

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Υπήρχε μια ανάγνωση εκτός ορίων στις εκδόσεις του LibTIFF πριν από την έκδοση 4.0.7. Αυτό αντιμετωπίστηκε με την ενημέρωση του LibTIFF στο ImageIO στην έκδοση 4.0.7.

CVE-2016-3619

JavaScriptCore

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2491: Apple

Η καταχώριση προστέθηκε στις 2 Μαΐου 2017

JavaScriptCore

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλης ιστοσελίδας μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα πρωτοτύπου αντιμετωπίστηκε μέσω βελτιωμένης λογικής.

CVE-2017-2492: lokihardt του Google Project Zero

Η καταχώριση ενημερώθηκε στις 24 Απριλίου 2017

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2401: Lufeng Li της ομάδας Qihoo 360 Vulcan Team

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2017-2440: ένας ανώνυμος ερευνητής

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2456: lokihardt του Google Project Zero

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2472: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2473: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα απόκλισης κατά ενός αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2474: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2017-2478: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2482: Ian Beer του Google Project Zero

CVE-2017-2483: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2490: Ian Beer του Google Project Zero, Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2017

Πληκτρολόγια

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα εκτέλεσης αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2458: Shashank (@cyberboyIndia)

Κλειδοθήκη

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Ένας εισβολέας που μπορεί να διακόψει τις συνδέσεις TLS ενδεχομένως να μπορεί να διαβάσει μυστικά που προστατεύονται από την Κλειδοθήκη iCloud.

Περιγραφή: Υπό συγκεκριμένες συνθήκες, η Κλειδοθήκη iCloud δεν μπορούσε να επαληθεύσει την αυθεντικότητα των πακέτων OTR. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-2448: Alex Radocea της Longterm Security, Inc.

Η καταχώριση ενημερώθηκε στις 30 Μαρτίου 2017

libarchive

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αλλάξει τα δικαιώματα συστήματος αρχείων σε αυθαίρετους καταλόγους

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης των symlinks.

CVE-2017-2390: Omer Medan της enSilo Ltd

libc++abi

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η μετατροπή μιας κακόβουλης εφαρμογής C++ ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2441

libxslt

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Πολλές ευπάθειες στο libxslt

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-5029: Holger Fuhrmannek

Η καταχώριση προστέθηκε στις 28 Μαρτίου 2017

Ασφάλεια

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2451: Alex Radocea της Longterm Security, Inc.

Ασφάλεια

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πιστοποιητικού x509 μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην ανάλυση πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-2485: Aleksandar Nikolic του Cisco Talos

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Ένα πρόβλημα πρόσβασης σε πρωτότυπο αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού εξαιρέσεων.

CVE-2017-2386: André Bargull

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric του Google Project Zero, Zheng Huang του Baidu Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-2455: Ivan Fratric του Google Project Zero

CVE-2017-2459: Ivan Fratric του Google Project Zero

CVE-2017-2460: Ivan Fratric του Google Project Zero

CVE-2017-2464: natashenka του Google Project Zero, Jeonghoon Shin

CVE-2017-2465: Zheng Huang και Wei Yuan του Baidu Security Lab

CVE-2017-2466: Ivan Fratric του Google Project Zero

CVE-2017-2468: lokihardt του Google Project Zero

CVE-2017-2469: lokihardt του Google Project Zero

CVE-2017-2470: lokihardt του Google Project Zero

CVE-2017-2476: Ivan Fratric του Google Project Zero

CVE-2017-2481: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση ενημερώθηκε στις 20 Ιουνίου 2017

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2415: Kai Kang του Tencent Xuanwu Lab (tentcent.com)

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να έχει ως αποτέλεσμα την υψηλή κατανάλωση μνήμης

Περιγραφή: Ένα μη ελεγχόμενο πρόβλημα κατανάλωσης πόρων αντιμετωπίστηκε μέσω βελτιωμένης επεξεργασίας regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2367: lokihardt του Google Project Zero

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των αντικειμένων πλαισίων. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-2445: lokihardt του Google Project Zero

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των συναρτήσεων αυστηρής λειτουργίας. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-2446: natashenka του Google Project Zero

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να παραβιάσει τις πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2447: natashenka του Google Project Zero

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2463: Kai Kang (4B5F5F4B) του Tencent Xuanwu Lab (tencent.com) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 28 Μαρτίου 2017

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό πλαισίων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-2475: lokihardt του Google Project Zero

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό στοιχείων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-2479: lokihardt του Google Project Zero

Η καταχώριση προστέθηκε στις 28 Μαρτίου 2017

WebKit

Διατίθεται για: Apple TV (4ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό στοιχείων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-2480: lokihardt του Google Project Zero

CVE-2017-2493: lokihardt του Google Project Zero

Η καταχώριση ενημερώθηκε στις 24 Απριλίου 2017

Επιπλέον αναγνώριση

XNU

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Lufeng Li της ομάδας Qihoo 360 Vulcan για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: