A tvOS 9.2.2 biztonsági tartalma

Ez a dokumentum a tvOS 9.2.2 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

tvOS 9.2.2

Kiadási dátum: 2016. július 18.

CFNetwork – hitelesítőadatok

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Visszalépési (downgrade) hiba állt fenn a Kulcskarikára mentett HTTP-hitelesítőadatokkal. Annak beállításával hárították el a problémát, hogy a rendszer mentse a hitelesítési típust a hitelesítőadatokkal együtt.

CVE-2016-4644 : Jerry Decime (a CERT irányításával)

CFNetwork proxyk

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hitelesítési hiba lépett fel a 407-es hibakódok elemzésekor. Hatékonyabb válaszellenőrzéssel hárították el a problémát.

CVE-2016-4643 : Xiaofeng Zheng (Blue Lotus Team), Tsinghua University; Jerry Decime (a CERT irányításával)

CFNetwork proxyk

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az alkalmazások véletlenül titkosítás nélkül küldtek el jelszavakat a hálózaton keresztül.

Leírás: A proxyhitelesítés tévesen arról tett jelentést, hogy a HTTP-proxyk biztonságos módon megkapták a hitelesítőadatokat. Hatékonyabb figyelmeztetésekkel hárították el a problémát.

CVE-2016-4642 : Jerry Decime (a CERT irányításával)

CoreGraphics

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4637 : Tyler Bohan (Cisco Talos, talosintel.com/vulnerability-reports)

ImageIO

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.

CVE-2016-4632 : Evgeny Sidorov (Yandex)

ImageIO

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-4631 : Tyler Bohan (Cisco Talos, talosintel.com/vulnerability-reports)

ImageIO

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-7705 : Craig Young (Tripwire VERT)

Bejegyzés hozzáadva 2017. november 30-án.

IOAcceleratorFamily

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.

CVE-2016-4627 : Ju Zhu (Trend Micro)

IOHIDFamily

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.

CVE-2016-4626 : Stefan Esser (SektionEins)

Kernel

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-1863 : Ian Beer (Google Project Zero)

CVE-2016-4653 : Ju Zhu (Trend Micro)

CVE-2016-4582 : Shrek_wzw és Proteas (Qihoo 360 Nirvan Team)

Kernel

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.

CVE-2016-1865 : CESG, Marco Grassi (@marcograss; KeenLab [@keen_lab], Tencent)

libxml2

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Hozzáféréssel összefüggő probléma lépett fel az ártó szándékkal létrehozott XML-fájlok elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

CVE-2016-4449 : Kostya Serebryany

libxml2

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Több biztonsági rés a libxml2 esetén.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2015-8317 : Hanno Boeck

CVE-2016-1836 : Wei Lei és Liu Yang (Nanyang Technological University)

CVE-2016-4447 : Wei Lei és Liu Yang (Nanyang Technological University)

CVE-2016-4448 : Apple

CVE-2016-4483 : Gustavo Grieco

CVE-2016-4614 : Nick Wellnhofer

CVE-2016-4615 : Nick Wellnhofer

CVE-2016-4616 : Michael Paddon

A bejegyzés frissítve: 2017. június 5.

libxslt

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Több biztonsági rés a libxslt esetén.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-1683 : Nicolas Grégoire

CVE-2016-1684 : Nicolas Grégoire

CVE-2016-4607 : Nick Wellnhofer

CVE-2016-4608 : Nicolas Grégoire

CVE-2016-4609 : Nick Wellnhofer

CVE-2016-4610 : Nick Wellnhofer

A bejegyzés frissítve: 2017. április 11.

Sandbox-profilok

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy a helyi alkalmazások hozzá tudtak férni a feldolgozási listához.

Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozások bevezetésével küszöbölték ki a problémát.

CVE-2016-4594 : Stefan Esser (SektionEins)

WebKit

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-4586 : Apple

CVE-2016-4588 : Apple

CVE-2016-4589 : Tongbo Luo és Bo Qu (Palo Alto Networks)

CVE-2016-4622 : Samuel Gross (a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként)

CVE-2016-4623 : Apple

CVE-2016-4624 : Apple

WebKit

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor felfedhetők voltak olyan képadatok, amelyek egy másik webhelyről származtak.

Leírás: Egy időzítéssel kapcsolatos probléma lépett fel az SVG feldolgozásakor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2016-4583 : Roeland Krak

WebKit

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriainicializálási hibát.

CVE-2016-4587 : Apple

WebKit

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Engedélyezési hiba lépett fel a helyváltozó kezelésekor. További tulajdonjog-ellenőrzésekkel hárították el a problémát.

CVE-2016-4591 : ma.la (LINE Corporation)

WebKit

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása szolgáltatásmegtagadást idézett elő.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.

CVE-2016-4592 : Mikhail

WebKit-oldalbetöltés

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására

került sor.

Leírás: Hatékonyabb memóriakezeléssel

elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-4584 : Chris Vienneau

WebKit-oldalbetöltés

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma állt fenn a Safari általi URL-átirányítások során. Azáltal hárították el a problémát, hogy hatékonyabb URL-ellenőrzést vezettünk be az átirányítások során.

CVE-2016-4585 : Takeshi Terada (Mitsui Bussan Secure Directions, Inc.; www.mbsd.jp)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: