אודות תוכן האבטחה של tvOS 10
מסמך זה מתאר את תוכני האבטחה של tvOS 10.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
tvOS 10
שמע
זמין עבור: Apple TV (דור רביעי)
השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2016-4702: יונג'ין יון, מינסיק שין, הוג'אה האן, סונגהיון פארק וטאקיונג קוון מ-Information Security Lab, אוניברסיטת יונסיי
CFNetwork
זמין עבור: Apple TV (דור רביעי)
השפעה: עיבוד של תוכן אינטרנט זדוני עלול להביא לחשיפת מידע של משתמשים
תיאור: הייתה בעיה של אימות קלט בניתוח הכותרת Set-Cookie. בעיה זו טופלה באמצעות בדיקת אימות משופרת.
CVE-2016-4708: דוד צ'גאן מ-Silesia Security Lab
CoreCrypto
זמין עבור: Apple TV (דור רביעי)
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי
תיאור: בעיה של כתיבה מחוץ לטווח טופלה על-ידי הסרת הקוד הפגיע.
CVE-2016-4712: גרגו קוטלס
FontParser
זמין עבור: Apple TV (דור רביעי)
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: גלישת מאגר אירעה בעת טיפול בקבצי גופנים. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-2016-4718: Apple
IOAcceleratorFamily
זמין עבור: Apple TV (דור רביעי)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2016-4725: רוג'ר קומבס מ-.Plex, Inc
IOAcceleratorFamily
זמין עבור: Apple TV (דור רביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2016-4726: חוקר אנונימי
ליבה
זמין עבור: Apple TV (דור רביעי)
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית טיפול בנעילה טופלה באמצעות טיפול משופר בנעילה.
CVE-2016-4772: מארק הויזה מ-mh-sec
ליבה
זמין עבור: Apple TV (דור רביעי)
השפעה: אפליקציה עלולה להצליח לקבוע את פריסת זיכרון הליבה
תיאור: מספר בעיות של קריאה מחוץ לטווח הובילו לחשיפת זיכרון ליבה. בעיות אלה טופלו באמצעות אימות קלט משופר.
CVE-2016-4773: ברנדון אזאד
CVE-2016-4774: ברנדון אזאד
CVE-2016-4776: ברנדון אזאד
ליבה
זמין עבור: Apple TV (דור רביעי)
השפעה: משתמש מקומי עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2016-4775: ברנדון אזאד
ליבה
זמין עבור: Apple TV (דור רביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה של גישה לערך מצביע לא מהימן טופלה על-ידי הסרת הקוד המושפע.
CVE-2016-4777: לופנג לי מ-Qihoo 360 Nirvan Team
ליבה
זמין עבור: Apple TV (דור רביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2016-4778: CESG
libxml2
זמין עבור: Apple TV (דור רביעי)
השפעה: מספר בעיות ב-libxml2, שהמשמעותית ביותר שבהן עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2016-4658: ניק וולנהופר
CVE-2016-5131: ניק וולנהופר
libxslt
זמין עבור: Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2016-4738: ניק וולנהופר
אבטחה
זמין עבור: Apple TV (דור רביעי)
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: הייתה בעיית אימות בתמונות דיסק חתומות. בעיה זו טופלה באמצעות אימות גודל משופר.
CVE-2016-4753: מארק מנטוביי מ-.Google Inc.
WebKit
זמין עבור: Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית ניתוח הייתה קיימת בטיפול באבות טיפוס של שגיאות. הבעיה טופלה באמצעות אימות משופר.
CVE-2016-4728: דניאל דיבריצ'יאן
WebKit
זמין עבור: Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2016-4611: Apple
CVE-2016-4730: Apple
CVE-2016-4734: נטאשנקה מ-Google Project Zero
CVE-2016-4735: אנדרה ברגול
CVE-2016-4737: Apple
CVE-2016-4759: טונגבו לו מ-Palo Alto Networks
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768:אנונימי בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיות מרובות בזיכרון פגום טופלו באמצעות ניהול מצב משופר.
CVE-2016-4733: נטאשנקה מ-Google Project Zero
CVE-2016-4765: Apple
WebKit
זמין עבור: Apple TV (דור רביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיות מרובות בזיכרון פגום טופלו באמצעות ניהול מצב משופר.
CVE-2016-4764: Apple
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.