A tvOS 10 biztonsági tartalma
Ez a dokumentum a tvOS 10 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
tvOS 10
Hang
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park és Taekyoung Kwon (Information Security Lab, Yonsei University)
CFNetwork
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor meg lehetett szerezni a felhasználói adatokat.
Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel a „set-cookie” fejléc elemzésekor. Hatékonyabb hitelesítési ellenőrzéssel hárítottuk el a problémát.
CVE-2016-4708: Dawid Czagan (Silesia Security Lab)
CoreCrypto
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy határértéket túllépő írási problémát a sebezhető kód eltávolításával.
CVE-2016-4712: Köteles Gergő
FontParser
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-2016-4718: Apple
IOAcceleratorFamily
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4725: Rodger Combs (Plex, Inc.)
IOAcceleratorFamily
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4726: anonim kutató
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Elhárítottunk egy zároláskezelési hibát hatékonyabb zároláskezeléssel.
CVE-2016-4772: Marc Heuse (mh-sec)
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória elrendezését.
Leírás: Több határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4775: Brandon Azad
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy nem megbízható mutatófeloldást az érintett kód eltávolításával.
CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4778: CESG
libxml2
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A libxml2 könyvtárban több probléma állt fenn, amelyek közül a legsúlyosabb váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást tett lehetővé.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4738: Nick Wellnhofer
Biztonság
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Érvényesítési hiba állt fenn az aláírt lemezképek esetén. Hatékonyabb méretellenőrzéssel küszöböltük ki a problémát.
CVE-2016-4753: Mark Mentovai (Google Inc.)
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Egy elemzési hiba lépett fel a hibaprototípusok elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.
CVE-2016-4728: Daniel Divricean
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4611: Apple
CVE-2016-4730: Apple
CVE-2016-4734: natashenka (Google Project Zero)
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo (Palo Alto Networks)
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4733: natashenka (Google Project Zero)
CVE-2016-4765: Apple
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4764: Apple
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.