A tvOS 9.1 biztonsági tartalma

Ez a dokumentum a tvOS 9.1 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

tvOS 9.1

  • AppleMobileFileIntegrity

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: A hozzáférés-vezérlési struktúrák módosíthatóságának megakadályozásával elhárítottak egy hozzáférés-vezérléssel kapcsolatos problémát.

    CVE-azonosító

    CVE-2015-7055 : Apple

  • Tömörítés

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn a zlib esetén. Hatékonyabb memóriainicializálással és a zlib-streamek további ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7054 : j00ru

  • CoreGraphics

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7105 : John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fellépett a hibás formázású médiafájlok feldolgozásakor. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7074

    CVE-2015-7075 : Apple

  • Lemezképek

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Memóriasérülést okozó hiba lépett fel a lemezképek elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7110 : Ian Beer (Google Project Zero)

  • dyld

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több szegmensellenőrzési hiba állt fenn a dyld esetén. Hatékonyabb környezettisztítással hárították el a problémákat.

    CVE-azonosító

    CVE-2015-7072 : Apple

    CVE-2015-7079 : PanguTeam

  • ImageIO

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba állt fenn az ImageIO esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7053 : Apple

  • IOAcceleratorFamily

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az IOAcceleratorFamily esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7109 : Juwei Lin (TrendMicro)

  • IOHIDFamily

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több memóriasérülési hiba is fennállt az IOHIDFamily API esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7111 : beist és ABH (BoB)

    CVE-2015-7112 : Ian Beer (Google Project Zero)

  • IOKit SCSI

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Címke nélküli mutatófeloldási hiba lépett fel egy bizonyos típusú userclient kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7068 : Ian Beer (Google Project Zero)

  • Kernel

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

    CVE-azonosító

    CVE-2015-7040 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7041 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7042 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7043 : Tarjei Mandt (@kernelpool)

  • Kernel

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7083 : Ian Beer (Google Project Zero)

    CVE-2015-7084 : Ian Beer (Google Project Zero)

  • Kernel

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Fellépett egy hiba a Mach-üzenetek elemzésekor. A Mach-üzenetek hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-7047 : Ian Beer (Google Project Zero)

  • libarchive

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba lépett fel az archívumok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2011-2895 : @practicalswift

  • libc

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott csomagok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a szabványos C-könyvtárban. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7038 : Brian D. Wells (E. W. Scripps), Narayan Subramanian (Symantec Corporation/Veritas LLC)

    CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)

    A bejegyzés frissítve: 2017. március 3.

  • libxml2

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.

    Leírás: Memóriasérülést okozó hiba lépett fel az XML-fájlok elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7115 : Wei Lei és Liu Yang (Nanyang Technological University)

    CVE-2015-7116 : Wei Lei és Liu Yang (Nanyang Technological University)

  • MobileStorageMounter

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egy időzítéssel kapcsolatos probléma lépett fel a megbízhatósági gyorsítótár betöltésekor. A probléma elhárításához a rendszerkörnyezet hitelesítését úgy állították be, hogy az még a megbízhatósági gyorsítótár betöltése előtt végbemenjen.

    CVE-azonosító

    CVE-2015-7051 : PanguTeam

  • OpenGL

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fennállt az OpenGL esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7064 : Apple

    CVE-2015-7065 : Apple

  • Biztonság

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.

    Leírás: Memóriasérülést okozó hiba lépett fel az SSL-kézfogások kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7073 : Benoit Foucher (ZeroC, Inc.)

  • Biztonság

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn az ASN.1 dekóderben. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémákat

    CVE-azonosító

    CVE-2015-7059 : David Keeler (Mozilla)

    CVE-2015-7060 : Tyson Smith (Mozilla)

    CVE-2015-7061 : Ryan Sleevi (Google)

  • Biztonság

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználói kulcskarika elemeihez.

    Leírás: Hiba lépett fel a kulcskarikaelemekhez kapcsolódó hozzáférés-kezelési listák hitelesítésekor. A hozzáférés-kezelési listák hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-7058

  • WebKit

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7048 : Apple

    CVE-2015-7095 : Apple

    CVE-2015-7096 : Apple

    CVE-2015-7097 : Apple

    CVE-2015-7098 : Apple

    CVE-2015-7099 : Apple

    CVE-2015-7100 : Apple

    CVE-2015-7101 : Apple

    CVE-2015-7102 : Apple

    CVE-2015-7103 : Apple

    CVE-2015-7104 : Apple

  • WebKit

    A következő készülékhez érhető el: 4. generációs Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fennállt az OpenGL esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7066 : Tongbo Luo és Bo Qu (Palo Alto Networks)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: