Tietoja tvOS 9.2.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 9.2.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

tvOS 9.2.2

CFNetwork-tunnistetiedot

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Avainnippuun tallennettujen HTTP-todennuksen tunnistetietojen suojaustason heikentämiseen liittyi ongelma. Ongelma ratkaistiin tallentamalla todennustyypit tunnistetietojen kanssa.

CVE-2016-4644: Jerry Decime CERTin koordinoimana

CFNetwork-välipalvelimet

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: 407-vastausten jäsentämisessä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla vastausten tarkistamista.

CVE-2016-4643: Xiaofeng Zheng (Blue Lotus Team), Tsinghua University; Jerry Decime CERTin koordinoimana

CFNetwork-välipalvelimet

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Appi saattoi vahingossa lähettää salasanan verkon kautta salaamattomana.

Kuvaus: Välipalvelimen todennus ilmoitti virheellisesti, että HTTP-välipalvelimet ovat vastaanottaneet tunnistetiedot suojattuina. Ongelma on ratkaistu parantamalla varoituksia.

CVE-2016-4642: Jerry Decime CERTin koordinoimana

CoreGraphics

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4637: Cisco Talosin Tyler Bohan (talosintel.com/vulnerability-reports)

ImageIO

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4632: Evgeny Sidorov (Yandex)

ImageIO

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4631: Cisco Talosin Tyler Bohan (talosintel.com/vulnerability-reports)

ImageIO

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7705: Craig Young (Tripwire VERT)

IOAcceleratorFamily

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla tarkistusta.

CVE-2016-4627: Ju Zhu (Trend Micro)

IOHIDFamily

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-4626: Stefan Esser (SektionEins)

Kernel

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-1863: Ian Beer (Google Project Zero)

CVE-2016-4653: Ju Zhu (Trend Micro)

CVE-2016-4582: Shrek_wzw ja Proteas (Qihoo 360 Nirvan Team)

Kernel

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) (KeenLab, @keen_lab), Tencent

libxml2

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Haitallisten XML-tiedostojen jäsennyksessä oli käyttöongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-4449: Kostya Serebryany

libxml2

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: libxml2:ssa oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei ja Liu Yang (Nanyang Technological University)

CVE-2016-4447: Wei Lei ja Liu Yang (Nanyang Technological University)

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

libxslt

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Eristysprofiilit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen appi saattoi pystyä käyttämään prosessiluetteloa.

Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2016-4594: Stefan Esser (SektionEins)

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4586: Apple

CVE-2016-4588: Apple

CVE-2016-4589: Tongbo Luo ja Bo Qu (Palo Alto Networks)

CVE-2016-4622: Trend Micron Zero Dayn parissa työskentelevä Samuel Gross

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi paljastaa kuvatietoja toiselta sivustolta.

Kuvaus: Ajastusongelma ilmeni SVG:n käsittelyn aikana. Ongelma on ratkaistu parantamalla validointia.

CVE-2016-4583: Roeland Krak

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin alustamisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4587: Apple

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: Sijaintimuuttujan käsittelyssä ilmeni lupaongelma. Se on korjattu omistajuuden lisätarkistuksilla.

CVE-2016-4591: ma.la (LINE Corporation)

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4592: Mikhail

WebKitin sivun lataaminen

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen

koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu

parantamalla muistin käsittelyä.

CVE-2016-4584: Chris Vienneau

WebKitin sivun lataaminen

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Verkostonlaajuinen komentosarjaongelma ilmeni Safarin URL-uudelleenohjauksessa. Ongelma on ratkaistu parantamalla URL-osoitteiden tarkistusta uudelleenohjauksen yhteydessä.

CVE-2016-4585: Takeshi Terada (Mitsui Bussan Secure Directions, Inc., www.mbsd.jp)