A tvOS 9.2.1 biztonsági tartalma
Ez a dokumentum a tvOS 9.2.1 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági webhelyén olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információt.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
tvOS 9.2.1
CFNetwork Proxies
A következő készülékekhez érhető el: Apple TV (4. generáció)
Érintett terület: A magas hálózati jogosultságú támadók bizalmas felhasználói információkat szivárogtathattak ki.
Leírás: Adatszivárgás történt a HTTP- és HTTPS-kérelmek kezelésekor. Az URL-ek hatékonyabb kezelésével hárították el a problémát.
CVE-azonosító
CVE-2016-1801: Alex Chapman és Paul Stone (Context Information Security)
CommonCrypto
A következő készülékekhez érhető el: Apple TV (4. generáció)
Érintett terület: Rosszindulatú alkalmazások bizalmas felhasználói adatokat szivárogtathattak ki.
Leírás: Hiba lépett fel a CCCrypt visszatérési értékeinek kezelésekor. Hatékonyabb kulcshossz-kezeléssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2016-1802: Klaus Rodewig
CoreCapture
A következő készülékekhez érhető el: Apple TV (4. generáció)
Érintett terület: Az alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1803: Ian Beer (Google Project Zero), daybreaker (Trend Micro: Zero Day Initiative)
Disk Images
A következő készülékekhez érhető el: Apple TV (4. generáció)
Érintett terület: Az alkalmazások olvashatták a kernelmemóriákat.
Leírás: Hatékonyabb zárolás révén elhárítottak egy versenyhelyzeti problémát.
CVE-azonosító
CVE-2016-1807: Ian Beer (Google Project Zero)
Disk Images
A következő készülékekhez érhető el: Apple TV (4. generáció)
Érintett terület: Az alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal.
Leírás: Memóriasérülési hiba lépett fel a lemezképek elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2016-1808: Moony Li (@Flyic) és Jack Tang (@jacktang310) – Trend Micro
ImageIO
A következők készülékekhez érhető el: Apple TV (4. generáció)
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1817: Moony Li (@Flyic) és Jack Tang (@jacktang310) – Trend Micro: Trend Micro Zero Day Initiative
CVE-2016-1818: Juwei Lin (TrendMicro), sweetchip@GRAYHASH (Trend Micro: Zero Day Initiative)
Bejegyzés frissítve: 2016. december 13.
IOAcceleratorFamily
A következő készülékekhez érhető el: Apple TV (4. generáció)
Érintett terület: Az alkalmazások szolgáltatásmegtagadást idézhettek elő.
Leírás: Hatékonyabb zárolással elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1814: Juwei Lin (TrendMicro)
IOAcceleratorFamily
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal.
Leírás: Hatékonyabb zárolással elhárítottak egy memóriasérülési sebezhetőséget.
CVE-azonosító
CVE-2016-1819: Ian Beer (Google Project Zero)
IOAcceleratorFamily
A következő készülékekhez érhető el: Apple TV (4. generáció)
Érintett terület: Az alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1813: Ian Beer (Google Project Zero)
IOHIDFamily
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1823: Ian Beer (Google Project Zero)
CVE-2016-1824: Marco Grassi (@marcograss, KeenLab: @keen_lab), Tencent
CVE-2016-4650: Peter Pi (Trend Micro, HP: Zero Day Initiative)
Kernel
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérülési hibát.
CVE-azonosító
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
libc
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Egy alkalmazás váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást idézhetett elő.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1832: Karl Williamson
libxml2
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az ártó szándékkal létrehozott XML feldolgozásakor váratlan alkalmazásleállás állhatott elő, illetve tetszőleges kódvégrehajtás mehetett végbe.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérülési hibát.
CVE-azonosító
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1836: Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2016-1837: Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges kódvégrehajtás mehetett végbe.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1841: Sebastian Apelt
OpenGL
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges kódvégrehajtás mehetett végbe.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérülési hibát.
CVE-azonosító
CVE-2016-1847: Tongbo Luo és Bo Qu (Palo Alto Networks)
WebKit
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor nyilvánosságra kerülhettek egy másik webhelyről származó adatok.
Leírás: Az svg-képek elemzése során tapasztalt elégtelen hibakövetési problémát a hibakövetés javításával orvosolták.
CVE-azonosító
CVE-2016-1858: meg nem nevezett kutató
WebKit
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges kódvégrehajtás mehetett végbe.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérülési hibát.
CVE-azonosító
CVE-2016-1854: meg nem nevezett személy (Trend Micro: Zero Day Initiative)
CVE-2016-1855: Tongbo Luo és Bo Qu (Palo Alto Networks)
CVE-2016-1856: lokihardt (Trend Micro: Zero Day Initiative)
CVE-2016-1857: Jeonghoon Shin@A.D.D, Liang Chen, Zhen Feng, wushi (KeenLab), Tencent (Trend Micro: Zero Day Initiative)
WebKit Canvas
A következő készülékekhez elérhető: Apple TV (4. generáció)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges kódvégrehajtás mehetett végbe.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérülési hibát.
CVE-azonosító
CVE-2016-1859: Liang Chen, wushi (KeenLab), Tencent (Trend Micro: Zero Day Initiative)
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.