אודות תוכן האבטחה של tvOS 10

מסמך זה מתאר את תוכני האבטחה של tvOS 10.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

tvOS 10

שהופץ ב-13 בספטמבר 2016

שמע

זמין עבור: Apple TV (דור רביעי)

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2016-4702: יונג'ין יון, מינסיק שין, הוג'אה האן, סונגהיון פארק וטאקיונג קוון מ-Information Security Lab,‏ אוניברסיטת יונסיי

הערך נוסף ב-20 בספטמבר 2016

CFNetwork

זמין עבור: Apple TV (דור רביעי)

השפעה: עיבוד של תוכן אינטרנט זדוני עלול להביא לחשיפת מידע של משתמשים

תיאור: הייתה בעיה של אימות קלט בניתוח הכותרת Set-Cookie. בעיה זו טופלה באמצעות בדיקת אימות משופרת.

CVE-2016-4708: דוד צ'גאן מ-Silesia Security Lab

הערך נוסף ב-20 בספטמבר 2016

CoreCrypto

זמין עבור: Apple TV (דור רביעי)

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי

תיאור: בעיה של כתיבה מחוץ לטווח טופלה על-ידי הסרת הקוד הפגיע.

CVE-2016-4712: גרגו קוטלס

הערך נוסף ב-20 בספטמבר 2016

FontParser

זמין עבור: Apple TV (דור רביעי)

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: גלישת מאגר אירעה בעת טיפול בקבצי גופנים. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

CVE-2016-4718:‏ Apple

הערך נוסף ב-20 בספטמבר 2016

IOAcceleratorFamily

זמין עבור: Apple TV (דור רביעי)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2016-4725: רוג'ר קומבס מ-.Plex, Inc

הערך נוסף ב-20 בספטמבר 2016

IOAcceleratorFamily

זמין עבור: Apple TV (דור רביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2016-4726: חוקר אנונימי

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: Apple TV (דור רביעי)

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית טיפול בנעילה טופלה באמצעות טיפול משופר בנעילה.

CVE-2016-4772: מארק הויזה מ-mh-sec

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: Apple TV (דור רביעי)

השפעה: אפליקציה עלולה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: מספר בעיות של קריאה מחוץ לטווח הובילו לחשיפת זיכרון ליבה. בעיות אלה טופלו באמצעות אימות קלט משופר.

CVE-2016-4773: ברנדון אזאד

CVE-2016-4774: ברנדון אזאד

CVE-2016-4776: ברנדון אזאד

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: Apple TV (דור רביעי)

השפעה: משתמש מקומי עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2016-4775: ברנדון אזאד

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: Apple TV (דור רביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה של גישה לערך מצביע לא מהימן טופלה על-ידי הסרת הקוד המושפע.

CVE-2016-4777: ‏לופנג לי מ-Qihoo 360 Nirvan Team

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: Apple TV (דור רביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2016-4778:‏ CESG

הערך נוסף ב-20 בספטמבר 2016

libxml2

זמין עבור: Apple TV (דור רביעי)

השפעה: מספר בעיות ב-libxml2, שהמשמעותית ביותר שבהן עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2016-4658: ניק וולנהופר

CVE-2016-5131: ניק וולנהופר

הערך נוסף ב-20 בספטמבר 2016

libxslt

זמין עבור: Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2016-4738: ניק וולנהופר

הערך נוסף ב-20 בספטמבר 2016

אבטחה

זמין עבור: Apple TV (דור רביעי)

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: הייתה בעיית אימות בתמונות דיסק חתומות. בעיה זו טופלה באמצעות אימות גודל משופר.

CVE-2016-4753: מארק מנטוביי מ-.Google Inc.

הערך נוסף ב-20 בספטמבר 2016

WebKit

זמין עבור: Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית ניתוח הייתה קיימת בטיפול באבות טיפוס של שגיאות. הבעיה טופלה באמצעות אימות משופר.

CVE-2016-4728: דניאל דיבריצ'יאן

הערך נוסף ב-20 בספטמבר 2016

WebKit

זמין עבור: Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2016-4611:‏ Apple

CVE-2016-4730:‏ Apple

CVE-2016-4734: נטאשנקה מ-Google Project Zero

CVE-2016-4735: אנדרה ברגול

CVE-2016-4737:‏ Apple

CVE-2016-4759: טונגבו לו מ-Palo Alto Networks

CVE-2016-4766:‏ Apple

CVE-2016-4767:‏ Apple

CVE-2016-4768:‏אנונימי בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-20 בספטמבר 2016

WebKit

זמין עבור: Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיות מרובות בזיכרון פגום טופלו באמצעות ניהול מצב משופר.

CVE-2016-4733: נטאשנקה מ-Google Project Zero

CVE-2016-4765:‏ Apple

הערך נוסף ב-20 בספטמבר 2016

WebKit

זמין עבור: Apple TV (דור רביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיות מרובות בזיכרון פגום טופלו באמצעות ניהול מצב משופר.

CVE-2016-4764:‏ Apple

הערך נוסף ב-3 בנובמבר 2016

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: