Tietoja tvOS 10.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 10.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
tvOS 10.2
Ääni
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2430: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija
CVE-2017-2462: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija
Carbon
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen .dfont-tiedoston käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) (Tencent Security Platform Department)
CoreGraphics
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: Loputon rekursio ratkaistiin parantamalla tilanhallintaa.
CVE-2017-2417: riusksk(泉哥) (Tencent Security Platform Department)
CoreGraphics
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2444: Mei Wang (360 GearTeam)
CoreText
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen tekstiviestin käsittely saattoi johtaa ohjelman palvelunestoon.
Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen tarkistusta.
CVE-2017-2461: nimetön tutkija, Isaac Archambault (IDAoADI)
FontParser
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2487: riusksk(泉哥) (Tencent Security Platform Department)
CVE-2017-2406: riusksk(泉哥) (Tencent Security Platform Department)
FontParser
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2407: riusksk(泉哥) (Tencent Security Platform Department)
FontParser
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallinen HTTP/2-palvelin saattoi aiheuttaa määrittämätöntä toimintaa.
Kuvaus: nghttp2:ssa oli useita ongelmia ennen versiota 1.17.0. Ne on ratkaistu päivittämällä nghttp2 versioon 1.17.0.
CVE-2017-2428
ImageIO
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab, Tencent)
ImageIO
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen JPEG-tiedoston tarkasteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2432: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija
ImageIO
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2467
ImageIO
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen kuvan käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: Versiota 4.0.7 aiemmissa LibTIFF-versioissa oli rajojen ulkopuolinen lukuongelma. Tämä ratkaistiin päivittämällä ImageIO:n LibTIFF versioon 4.0.7.
CVE-2016-3619
JavaScriptCore
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2491: Apple
JavaScriptCore
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosivuston käsitteleminen saattoi johtaa yleiseen sivustojen väliseen komentosarjahyökkäykseen.
Kuvaus: Prototyyppiin liittyvä ongelma on korjattu parantamalla logiikkaa.
CVE-2017-2492: lokihardt (Google Project Zero)
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2401: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2440: nimetön tutkija
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: Kilpailutilanne ratkaistiin parantamalla muistin käsittelyä.
CVE-2017-2456: lokihardt (Google Project Zero)
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2472: Ian Beer (Google Project Zero)
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2473: Ian Beer (Google Project Zero)
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Off-by-one-ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2017-2474: Ian Beer (Google Project Zero)
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2017-2478: Ian Beer (Google Project Zero)
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2482: Ian Beer (Google Project Zero)
CVE-2017-2483: Ian Beer (Google Project Zero)
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia laajennetuilla käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2490: Ian Beer (Google Project Zero), Ison-Britannian National Cyber Security Centre (NCSC)
Näppäimistöt
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2017-2458: Shashank (@cyberboyIndia)
Avainnippu
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: TLS-yhteydet kaappaamaan onnistunut hyökkääjä saattoi pystyä lukemaan iCloud-avainnipulla salattua tietoa.
Kuvaus: iCloud-avainnippu ei tietyissä olosuhteissa onnistunut vahvistamaan OTR-pakettien aitoutta. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)
libarchive
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Paikallinen hyökkääjä saattoi pystyä vaihtamaan tiedostojärjestelmän käyttöoikeuksia mielivaltaisissa hakemistoissa.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2017-2390: Omer Medan (enSilo Ltd)
libc++abi
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen C++-ohjelman takaisinsovitus saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2441
libxslt
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-5029: Holger Fuhrmannek
Suojaus
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)
Suojaus
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen x509-varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Varmenteiden jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2485: Aleksandar Nikolic (Cisco Talos)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Prototyypin käyttöoikeusongelma on ratkaistu parantamalla poikkeusten käsittelyä.
CVE-2017-2386: André Bargull
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric (Google Project Zero), Zheng Huang (Baidu Security Lab) yhteistyössä Trend Micron Zero Day Initiativen kanssa
CVE-2017-2455: Ivan Fratric (Google Project Zero)
CVE-2017-2459: Ivan Fratric (Google Project Zero)
CVE-2017-2460: Ivan Fratric (Google Project Zero)
CVE-2017-2464: natashenka (Google Project Zero), Jeonghoon Shin
CVE-2017-2465: Zheng Huang ja Wei Yuan (Baidu Security Lab)
CVE-2017-2466: Ivan Fratric (Google Project Zero)
CVE-2017-2468: lokihardt (Google Project Zero)
CVE-2017-2469: lokihardt (Google Project Zero)
CVE-2017-2470: lokihardt (Google Project Zero)
CVE-2017-2476: Ivan Fratric (Google Project Zero)
CVE-2017-2481: Trend Micron Zero Day Initiativen parissa työskentelevä 0011
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2415: Kai Kang (Tencentin Xuanwu Lab, tencent.com)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin suureen käyttöön.
Kuvaus: Resurssien hallitsemattoman kulutuksen ongelma ratkaistiin parantamalla säännöllisten lausekkeiden käsittelyä.
CVE-2016-9643: Gustavo Grieco
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Sivujen lataamisen käsittelyssä oli vahvistusongelma. Ongelma on ratkaistu parantamalla logiikkaa.
CVE-2017-2367: lokihardt (Google Project Zero)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: Kehysobjektien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2017-2445: lokihardt (Google Project Zero)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Strict mode -toimintojen käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2017-2446: natashenka (Google Project Zero)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisella verkkosivustolla käyminen saattoi vaarantaa käyttäjätiedot.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2447: natashenka (Google Project Zero)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2463: Trend Micron Zero Day Initiativen parissa työskentelevä Kai Kang (4B5F5F4B) (Tencentin Xuanwu Lab, tencent.com)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: Kehysten käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2017-2475: lokihardt (Google Project Zero)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Elementtien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-2479: lokihardt (Google Project Zero)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Elementtien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-2480: lokihardt (Google Project Zero)
CVE-2017-2493: lokihardt (Google Project Zero)
Kiitokset
XNU
Haluamme kiittää Lufeng Litä (Qihoo 360 Vulcan Team) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.