Tietoja tvOS 9.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 9.2:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

tvOS 9.2

• FontParser

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Haitallisen PDF-tiedoston avaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaiseen koodin suorittamiseen.

  Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

  CVE-tunnus

  CVE-2016-1740: HappilyCoded (ant4g0nist ja r3dsm0k3) – Trend Micron Zero Day Initiative (ZDI)

• HTTPProtocol

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: etähyökkääjä saattaa pystyä suorittamaan satunnaista koodia.

  Kuvaus: Versiota 1.6.0 vanhemmissa nghttp2-versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Ne on ratkaistu päivittämällä nghttp2 versioon 1.6.0.

  CVE-ID

  CVE-2015-8659

• IOHIDFamily

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

  Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

  CVE-tunnus

  CVE-2016-1748: Brandon Azad

• Kernel

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

  Kuvaus: Use after free -ongelma on ratkaistu parantamalla muistin hallintaa.

  CVE-ID

  CVE-2016-1750: CESG

• Kernel

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

  Kuvaus: Useiden kokonaislukujen ylivuoto on korjattu parannetun syötön tarkistuksen avulla.

  CVE-ID

  CVE-2016-1753: Juwei Lin – Trend Micro ja Trend Micron Zero Day Initiative (ZDI)

• Kernel

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.

  Kuvaus: Suorituskäyttöoikeuden virheellinen myöntäminen aiheutti käyttöoikeusongelman. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.

  CVE-ID

  CVE-2016-1751: Square Mobile Securityn Eric Monti

• Kernel

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

  Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

  CVE-ID

  CVE-2016-1754: Qihoo 360 Vulcan Teamin Lufeng Li

  CVE-2016-1755: Google Project Zeron Ian Beer

• Kernel

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Ohjelma saattoi pystyä aiheuttamaan palveluneston.

  Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tarkistusta.

  CVE-ID

  CVE-2016-1752: CESG

• libxml2

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Haitallisen XML:n käsitteleminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

  Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

  CVE-ID

  CVE-2015-1819

  CVE-2015-5312: Googlen David Drysdale

  CVE-2015-7499

  CVE-2015-7500: Googlen Kostya Serebryany

  CVE-2015-7942: Googlen Kostya Serebryany

  CVE-2015-8035: gustavo.grieco

  CVE-2015-8242: Hugh Davenport

  CVE-2016-1762

• Suojaus

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: haitallisen varmenteen käsittely saattaa johtaa mielivaltaisen koodin suorittamiseen.

  Kuvaus: ASN.1-koodipurkutoiminnossa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

  CVE-ID

  CVE-2016-1950: Quarkslabin Francis Gabriel

• TrueTypeScaler

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

  Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

  CVE-ID

  CVE-2016-1775: 0x1byte – Trend Micron Zero Day Initiative (ZDI)

• WebKit

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Haitallisen verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

  Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

  CVE-tunnus

  CVE-2016-1783: Googlen Mihai Parparita

• WebKitin historia

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Vihamielisen verkkosisällön käsitteleminen saattaa aiheuttaa odottamattoman Safarin kaatumisen.

  Kuvaus: Resurssien loppumisongelma korjattiin annettujen tietojen parannetulla tarkistuksella.

  CVE-ID

  CVE-2016-1784: TrendMicron Moony Li ja Jack Tang ja 无声信息技术PKAV Teamin (PKAV.net) 李普君

• Wi-Fi

  Tämä on saatavilla seuraaviin: Apple TV (4. sukupolvi).

  Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

  Kuvaus: Tietyssä ethertypessä oli kehystarkistus- ja muistin vioittumisongelma. Ongelma ratkaistiin ethertypen lisätarkistuksen ja parannetun muistin käsittelyn avulla.

  CVE-ID

  CVE-2016-0801: nimetön tutkija

  CVE-2016-0802: nimetön tutkija