Tietoja tvOS 9.2.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 9.2.1:n turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivulla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
tvOS 9.2.1
CFNetwork Proxies
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: HTTP- ja HTTPS-pyyntöjen käsittelyssä oli tietovuoto. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.
CVE-ID
CVE-2016-1801: Alex Chapman ja Paul Stone (Context Information Security)
CommonCrypto
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: haitallinen appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Palautusarvojen käsittelyssä CCCryptissä oli ongelma. Ongelma korjattiin parantamalla avaimen pituuden hallintaa.
CVE-ID
CVE-2016-1802: Klaus Rodewig
CoreCapture
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: nollaosoittimen epäviittaus on korjattu parantamalla validointia.
CVE-ID
CVE-2016-1803: Ian Beer (Google Project Zero), daybreaker yhteistyössä Trend Micron Zero Day Initiativen kanssa
Disk Images
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi pystyä lukemaan kernel-muistia.
Kuvaus: kilpailutilanne on korjattu parantamalla lukitusta.
CVE-ID
CVE-2016-1807: Ian Beer (Google Project Zero)
Disk Images
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Levytiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1808: Moony Li (@Flyic) ja Jack Tang (@jacktang310) (Trend Micro)
ImageIO
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa palveluneston.
Kuvaus: nollaosoittimen epäviittaus on korjattu parantamalla validointia.
CVE-ID
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1817: Moony Li (@Flyic) ja Jack Tang (@jacktang310) (Trend Micro) yhteistyössä Trend Micron Zero Day Initiativen kanssa
CVE-2016-1818: Juwei Lin (TrendMicro), sweetchip@GRAYHASH yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kohta päivitetty 13.12.2016
IOAcceleratorFamily
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi aiheuttaa palveluneston.
Kuvaus: nollaosoittimen epäviittaus on korjattu parantamalla lukitusta.
CVE-ID
CVE-2016-1814: Juwei Lin (TrendMicro)
IOAcceleratorFamily
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on korjattu parantamalla lukitusta.
CVE-ID
CVE-2016-1819: Ian Beer (Google Project Zero)
IOAcceleratorFamily
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: nollaosoittimen epäviittaus on korjattu parantamalla validointia.
CVE-ID
CVE-2016-1813: Ian Beer (Google Project Zero)
IOHIDFamily
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1823: Ian Beer (Google Project Zero)
CVE-2016-1824: Marco Grassi (@marcograss, KeenLab (@keen_lab)), Tencent
CVE-2016-4650: Peter Pi (Trend Micro) yhteistyössä HP:n Zero Day Initiativen kanssa
Kernel
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: useita muistin vioittumisongelmia on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
libc
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: appi saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: muistin vioittumisongelma on korjattu parantamalla syötteen validointia.
CVE-ID
CVE-2016-1832: Karl Williamson
libxml2
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: useita muistin vioittumisongelmia on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1836: Wei Lei ja Liu Yang (Nanyang Technological University)
CVE-2016-1837: Wei Lei ja Liu Yang (Nanyang Technological University)
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1841: Sebastian Apelt
OpenGL
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: useita muistin vioittumisongelmia on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1847: Tongbo Luo ja Bo Qu (Palo Alto Networks)
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi paljastaa tietoja toisesta verkkosivustosta.
Kuvaus: riittämätön vikojen seuranta svg-kuvien jäsentämisessä on korjattu parantamalla vikojen seurantaa.
CVE-ID
CVE-2016-1858: nimetön tutkija
WebKit
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: useita muistin vioittumisongelmia on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1854: nimetön tutkija yhteistyössä Trend Micron Zero Day Initiativen kanssa
CVE-2016-1855: Tongbo Luo ja Bo Qu (Palo Alto Networks)
CVE-2016-1856: lokihardt yhteistyössä Trend Micron Zero Day Initiativen kanssa
CVE-2016-1857: Jeonghoon Shin@A.D.D, Liang Chen, Zhen Feng, wushi (KeenLab), Tencent yhteistyössä Trend Micron Zero Day Initiativen kanssa
WebKit Canvas
Saatavuus: Apple TV (4. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: useita muistin vioittumisongelmia on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2016-1859: Liang Chen, wushi (KeenLab), Tencent yhteistyössä Trend Micron Zero Day Initiativen kanssa
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.