Tietoja tvOS 10.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 10.1:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

tvOS 10.1

Julkaistu 12.12.2016

Ääni

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7658: Haohao Kong (Tencentin Keen Lab, @keen_lab)

CVE-2016-7659: Haohao Kong (Tencentin Keen Lab, @keen_lab)

Kohta lisätty 13.12.2016

CoreFoundation

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisten merkkijonojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Merkkijonojen käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2016-7663: nimetön tutkija

Kohta lisätty 13.12.2016

CoreGraphics

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-7627: TRAPMINE Inc. ja Meysam Firouzi @R00tkitSMM

Kohta lisätty 13.12.2016

CoreMedian ulkoiset näytöt

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen ohjelma saattoi pystyä suorittamaan mielivaltaista koodia mediaserver-daemonin yhteydessä.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7655: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

Kohta lisätty 13.12.2016

CoreMedia Playback

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen .mp4-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7588: dragonltx (Huawei 2012 Laboratories)

Kohta lisätty 13.12.2016

CoreText

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

CVE-2016-7595: riusksk(泉哥) (Tencent Security Platform Department)

Kohta lisätty 13.12.2016

CoreText

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen merkkijonon käsittely saattoi johtaa palvelunestoon.

Kuvaus: Päällekkäisiä alueita näytettäessä ilmenevä ongelma on ratkaistu parantamalla validointia.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) (Digital Unit, dgunit.com)

Kohta lisätty 15.12.2016

Levykuvat

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7616: Trend Micron Zero Day Initiativen parissa työskentelevä daybreaker@Minionz

Kohta lisätty 13.12.2016

FontParser

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

CVE-2016-4691: riusksk(泉哥) (Tencent Security Platform Department)

Kohta lisätty 13.12.2016

ICU

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7594: André Bargull

Kohta lisätty 13.12.2016

ImageIO

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2016-7643: Yangkang (@dnpushme) (Qihoo360 Qex Team)

Kohta lisätty 13.12.2016

IOHIDFamily

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen ohjelma järjestelmän käyttöoikeuksilla saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7591: daybreaker (Minionz)

Kohta lisätty 13.12.2016

IOKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Ohjelma saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7657: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

Kohta lisätty 13.12.2016

IOKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Jaetun muistin ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7714: Trend Micron Zero Day Initiativen parissa työskentelevä KeenLabin Qidan He (@flanker_hqd)

Kohta lisätty 25.1.2017

JavaScriptCore

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Komentosarjan suorittaminen JavaScript-eristyksessä saattoi käyttää eristyksen ulkopuolista tilaa.

Kuvaus: JavaScriptin käsittelyssä oli validointiongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2016-4695: Mark S. Miller (Google)

Kohta lisätty 16.8.2017

Kernel

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. 

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-7606: @cocoahuke, Chen Qin (Topsec Alpha Team, topsec.com)

CVE-2016-7612: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Ohjelma saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Riittämättömän alustuksen ongelma ratkaistiin alustamalla käyttäjätilaan palautettava muisti asianmukaisesti.

CVE-2016-7607: Brandon Azad

Kohta lisätty 13.12.2016

Kernel

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7615: Ison-Britannian National Cyber Security Centre (NCSC)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7621: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7637: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7647: Lufeng Li (Qihoo 360 Vulcan Team)

Kohta lisätty 17.5.2017

libarchive

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korvaamaan olemassa olevia tiedostoja.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2016-7619: nimetön tutkija

Kohta lisätty 13.12.2016

Virranhallinta

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Mach-porttien nimiviittausten ongelma on ratkaistu parantamalla validointia.

CVE-2016-7661: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Profiilit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen varmenteen avaaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Varmenneprofiilien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Suojaus

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Hyökkääjä saattoi pystyä hyödyntämään 3DES-salausalgoritmin heikkouksia.

Kuvaus: 3DES poistettiin käytöstä oletussalauksena.

CVE-2016-4693: Gaëtan Leurent ja Karthikeyan Bhargavan (INRIA Paris)

Kohta lisätty 13.12.2016

Suojaus

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: OCSP-vastaajapalvelun URL-osoitteiden käsittelyssä oli tarkistusongelma. Ongelma ratkaistiin varmistamalla OCSP:n kumoamisen tila CA-validoinnin jälkeen ja rajoittamalla OCSP-pyyntöjä varmennetta kohti.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Kohta lisätty 13.12.2016

Suojaus

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Varmenteet saatettiin odottamatta arvioida luotettaviksi.

Kuvaus: Varmenteiden validoinnissa esiintyi varmenteen arviointiin liittyvä ongelma. Ongelma on ratkaistu varmenteiden lisätarkistuksella.

CVE-2016-7662: Apple

Kohta lisätty 13.12.2016

syslog

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Mach-porttien nimiviittausten ongelma on ratkaistu parantamalla validointia.

CVE-2016-7660: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Kohta lisätty 13.12.2016

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-4743: Alan Cutter

Kohta lisätty 13.12.2016

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa käyttäjätietojen paljastumiseen.

Kuvaus: Tarkistusongelma on korjattu parantamalla tilanhallintaa.

CVE-2016-7586: Boris Zbarsky

Kohta lisätty 13.12.2016

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Trend Micron Zero Day Initiativen parissa työskentelevä Zheng Huang (Baidu Security Lab)

CVE-2016-7611: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

CVE-2016-7639: Tongbo Luo (Palo Alto Networks)

CVE-2016-7640: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7641: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7642: Tongbo Luo (Palo Alto Networks)

CVE-2016-7645: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7646: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7648: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7649: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7654: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

Kohta lisätty 13.12.2016

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2016-7589: Apple

CVE-2016-7656: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

Kohta lisätty 13.12.2016

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Alustamattoman muistin käyttöongelma ratkaistiin parantamalla muistin alustamista.

CVE-2016-7598: Samuel Groß

Kohta lisätty 13.12.2016

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa käyttäjätietojen paljastumiseen.

Kuvaus: HTTP-uudelleenohjausten käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla eri alkuperien tarkistusta.

CVE-2016-7599: Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.)

Kohta lisätty 13.12.2016

WebKit

Saatavuus: Apple TV (4. sukupolvi).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2016-7632: Jeonghoon Shin

Kohta lisätty 13.12.2016

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: