Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
tvOS 10.2
Objavljeno 27. ožujka 2017.
Zvuk
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2430: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2017-2462: anonimni istraživač i inicijativa Zero Day (Trend Micro)
Carbon
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjerne datoteke oblika .dfont moglo je doći do izvršavanja proizvoljnog koda
Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
Jezgrena grafika
Dostupno za: Apple TV (četvrte generacije)
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: neprekidno ponavljanje riješeno je poboljšanim upravljanjem stanjem.
CVE-2017-2417: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
Jezgrena grafika
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2444: Mei Wang (360 GearTeam)
Jezgreni tekst
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2435: John Villamil (Doyensec)
Jezgreni tekst
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2450: John Villamil (Doyensec)
Jezgreni tekst
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjerne tekstne poruke može se izazvati odbijanje usluge aplikacije
Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2461: anonimni istraživač, Isaac Archambault (IDAoADI)
Parser za font
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2487: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
CVE-2017-2406: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
Parser za font
Dostupno za: Apple TV (četvrte generacije)
Učinak: parsiranjem zlonamjerne datoteke s fontovima moglo se izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2407: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
Parser za font
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2439: John Villamil (Doyensec)
HTTP protokol
Dostupno za: Apple TV (četvrte generacije)
Učinak: zlonamjerni HTTP/2 poslužitelj mogao je izazvati nedefinirano ponašanje
Opis: u protokolu nghttp2 starijem od verzije 1.17.0 otkriveno je nekoliko problema. Riješeni su ažuriranjem protokola nghttp2 na verziju 1.17.0.
CVE-2017-2428
Unos ažuriran 28. ožujka 2017.
Ulaz i izlaz slika
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab, Tencent)
Ulaz i izlaz slika
Dostupno za: Apple TV (četvrte generacije)
Učinak: prikazom zlonamjerno stvorene JPEG datoteke moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2432: anonimni istraživač i inicijativa Zero Day (Trend Micro)
Ulaz i izlaz slika
Dostupno za: Apple TV (četvrte generacije)
Učinak: obrada zlonamjerne datoteke mogla je izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2467
Ulaz i izlaz slika
Dostupno za: Apple TV (četvrte generacije)
Učinak: obrada zlonamjerne slike mogla je izazvati neočekivano zatvaranje aplikacije
Opis: u verzijama programske medijateke LibTIFF starijima od 4.0.7 otkriveno je čitanje izvan raspona. Taj je problem riješen ažuriranjem medijateke LibTIFF za ulaz i izlaz slika na verziju 4.0.7.
CVE-2016-3619
JavaScriptCore
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2491: Apple
Unos dodan 2. svibnja 2017.
JavaScriptCore
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjerne web-stranice moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem s prototipom riješen je poboljšanjem logike.
CVE-2017-2492: lokihardt (Google Project Zero)
Unos ažuriran 24. travnja 2017.
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2401: Lufeng Li (tim Vulcan, Qihoo 360)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2440: anonimni istraživač
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz korijenske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: uvjet nadvladavanja riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2456: lokihardt (Google Project Zero)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2472: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2473: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s pojavljivanjem pogreške off-by-one riješen je poboljšanom provjerom ograničenja.
CVE-2017-2474: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: uvjet nadvladavanja riješen je poboljšanim zaključavanjem.
CVE-2017-2478: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2482: Ian Beer (Google Project Zero)
CVE-2017-2483: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz dodatne ovlasti aplikacija može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2490: Ian Beer (Google Project Zero), Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Unos dodan 31. ožujka 2017.
Tipkovnice
Dostupno za: Apple TV (četvrte generacije)
Učinak: neke aplikacije mogle su izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2017-2458: Shashank (@cyberboyIndia)
Privjesak za ključeve
Dostupno za: Apple TV (četvrte generacije)
Učinak: napadači koji mogu presresti TLS veze mogli su pristupiti tajnim podacima zaštićenima značajkom iCloud privjesak ključeva.
Opis: u određenim uvjetima značajka iCloud privjeska ključeva nije uspijevala provjeriti autentičnost OTR paketa. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)
Unos ažuriran 30. ožujka 2017.
libarchive
Dostupno za: Apple TV (četvrte generacije)
Učinak: lokalni napadač mogao je na proizvoljnim direktorijima promijeniti sistemske dozvole za datoteke
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2017-2390: Omer Medan (enSilo Ltd)
libc++abi
Dostupno za: Apple TV (četvrte generacije)
Učinak: dekodiranjem zlonamjerne C++ aplikacije mogao se izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2441
libxslt
Dostupno za: Apple TV (četvrte generacije)
Učinak: veći broj slabih točaka u medijateci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-5029: Holger Fuhrmannek
Unos dodan 28. ožujka 2017.
Sigurnost
Dostupno za: Apple TV (četvrte generacije)
Učinak: uz korijenske ovlasti aplikacija je mogla izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)
Sigurnost
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog certifikata x509 moglo je doći do pokretanja proizvoljnog koda
Opis: u parsiranju certifikata otkriven je problem s oštećenom memorijom. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2485: Aleksandar Nikolić (Cisco Talos)
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: problem s pristupom prototipu riješen je poboljšanim upravljanjem iznimkama.
CVE-2017-2386: André Bargull
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratrić (Google Project Zero), Zheng Huang (Baidu Security Lab) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2017-2455: Ivan Fratrić (Google Project Zero)
CVE-2017-2459: Ivan Fratrić (Google Project Zero)
CVE-2017-2460: Ivan Fratrić (Google Project Zero)
CVE-2017-2464: natashenka (Google Project Zero), Jeonghoon Shin
CVE-2017-2465: Zheng Huang i Wei Yuan (Baidu Security Lab)
CVE-2017-2466: Ivan Fratrić (Google Project Zero)
CVE-2017-2468: lokihardt (Google Project Zero)
CVE-2017-2469: lokihardt (Google Project Zero)
CVE-2017-2470: lokihardt (Google Project Zero)
CVE-2017-2476: Ivan Fratrić (Google Project Zero)
CVE-2017-2481: 0011 i inicijativa Zero Day (Trend Micro)
Unos ažuriran 20. lipnja 2017.
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2415: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do velike potrošnje memorije
Opis: problem s nekontroliranom potrošnjom resursa riješen je poboljšanom obradom regularnih izraza.
CVE-2016-9643: Gustavo Grieco
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: u rukovanju učitavanjem stranice otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom logikom.
CVE-2017-2367: lokihardt (Google Project Zero)
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju objektima okvira pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2445: lokihardt (Google Project Zero)
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: u rukovanju funkcijama u strogom načinu pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2446: natashenka (Google Project Zero)
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2447: natashenka (Google Project Zero)
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)
Unos dodan 28. ožujka 2017.
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju okvirima pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2475: lokihardt (Google Project Zero)
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2479: lokihardt (Google Project Zero)
Unos dodan 28. ožujka 2017.
WebKit
Dostupno za: Apple TV (četvrte generacije)
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2480: lokihardt (Google Project Zero)
CVE-2017-2493: lokihardt (Google Project Zero)
Unos ažuriran 24. travnja 2017.
Dodatna zahvala
XNU
Na pomoći zahvaljujemo Lufengu Liju i njegovu timu Vulcan iz tvrtke Qihoo 360.