A tvOS 10.0.1 biztonsági tartalma
Ez a dokumentum a tvOS 10.0.1 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a javítások vagy új szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
tvOS 10.0.1
AppleMobileFileIntegrity
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az aláírt végrehajtható fájlok ugyanazzal a csoportazonosítóval helyettesítettek kódokat.
Leírás: Érvényesítési hiba lépett fel a kódalapú aláírások kezelésekor. További érvényesítés bevezetésével küszöbölték ki a problémát.
CVE-2016-7584: Mark Mentovai és Boris Vidolov (Google Inc.)
CFNetwork proxyk
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Egy adathalászattal kapcsolatos probléma lépett fel a proxyk hitelesítési adatainak kezelésekor. Azáltal hárították el a problémát, hogy eltávolították a proxyk jelszavának hitelesítésére felszólító kéretlen párbeszédpaneleket.
CVE-2016-7579: Jerry Decime
CoreGraphics
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintésekor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4673 : Marco Grassi (@marcograss; KeenLab [@keen_lab]), Tencent
FontParser
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok elemzésekor felfedhetők voltak bizalmas jellegű felhasználói adatok.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.
CVE-2016-4660 : Ke Liu (Tencent; Xuanwu Lab)
FontParser
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-2016-4688: Simon Huang (Alipay company), thelongestusernameofall@gmail.com
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az alkalmazások fel tudták fedni a kernelmemóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2016-4680: Max Bazaliy (Lookout) és in7egral
Kernel
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A gyökérszintű jogosultsággal rendelkező helyi alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Több probléma fellépett az objektumok élettartamával kapcsolatban új folyamatok származtatásakor. Hatékonyabb ellenőrzéssel hárították el a problémákat.
CVE-2016-7613 : Ian Beer (Google Project Zero)
libarchive
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A rosszindulatú archívumok felül tudtak írni tetszőleges fájlokat.
Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárították el a problémát.
CVE-2016-4679: Omer Medan (enSilo Ltd)
libxpc
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: További korlátozásokkal elhárítottak egy logikai hibát.
CVE-2016-4675 : Ian Beer (Google Project Zero)
Sandbox-profilok
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az alkalmazások be tudták olvasni a fotókönyvtárak metaadatait.
Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Sandbox-profilok
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az alkalmazások be tudták olvasni a hangfelvételeket tároló könyvtárak metaadatait.
Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Rendszerindítás
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.
Leírás: Több beviteli érvényesség-ellenőrzési hiba állt fenn a MIG által generált kódban. Hatékonyabb ellenőrzéssel hárították el a problémákat.
CVE-2016-4669 : Ian Beer (Google Project Zero)
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy beviteli érvényesség-ellenőrzési problémát.
CVE-2016-4613: Chris Palmer
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2016-4666: Apple
CVE-2016-4677 : anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következő készülékhez érhető el: 4. generációs Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2016-7578: Apple
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.