Informacije o sigurnosnom sadržaju sustava tvOS 10
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 10.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
tvOS 10
Zvuk
Dostupno za: Apple TV (četvrte generacije)
Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park i Taekyoung Kwon (Information Security Lab, sveučilište Yonsei)
CFNetwork
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja mogli su se ugroziti korisnički podaci
Opis: u raščlanjivanju zaglavlja Set-Cookie otkriven je problem s provjerom valjanosti. Problem je riješen boljom provjerom valjanosti.
CVE-2016-4708: Dawid Czagan (Silesia Security Lab)
CoreCrypto
Dostupno za: Apple TV (četvrte generacije)
Učinak: neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s prekoračenjem pri zapisivanju riješen je uklanjanjem koda sa slabim točkama.
CVE-2016-4712: Gergo Koteles
Parser za font
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.
CVE-2016-4718: Apple
IOAcceleratorFamily
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2016-4725: Rodger Combs (Plex, Inc.)
IOAcceleratorFamily
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4726: anonimni istraživač
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: problem rukovanja blokadom riješen je poboljšanim rukovanjem blokadom.
CVE-2016-4772: Marc Heuse (mh-sec)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: aplikacije su mogle odrediti raspored elemenata kernelske memorije
Opis: otkriveni su višestruki problemi s prekoračenjem čitanja, koji su uzrokovali otkrivanje kernelske memorije. Ti su problemi riješeni poboljšanom provjerom unosa.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4775: Brandon Azad
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: dereferenca pokazivača koji se ne smatra pouzdanim riješena je uklanjanjem zahvaćenog koda.
CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4778: CESG
libxml2
Dostupno za: Apple TV (četvrte generacije)
Opis: u komponenti libxml2 otkriveni su višestruki problemi, od kojih je najveći mogao uzrokovati neočekivani prekid rada aplikacije ili izvršavanje proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4738: Nick Wellnhofer
Sigurnost
Dostupno za: Apple TV (četvrte generacije)
Učinak: neka zlonamjerna aplikacija mogla bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: na potpisanim slikama diska otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom valjanosti veličina.
CVE-2016-4753: Mark Mentovai, Google Inc.
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: u rukovanju prototipima pogrešaka pojavio se problem s parsiranjem. Taj je problem riješen poboljšanom provjerom valjanosti.
CVE-2016-4728: Daniel Divricean
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4611: Apple
CVE-2016-4730: Apple
CVE-2016-4734: natashenka (Google Project Zero)
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo (Palo Alto Networks)
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anonimni istraživač i inicijativa Zero Day (Trend Micro)
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.
CVE-2016-4733: natashenka (Google Project Zero)
CVE-2016-4765: Apple
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.
CVE-2016-4764: Apple
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.