A tvOS 10.0.1 biztonsági tartalma

Ez a dokumentum a tvOS 10.0.1 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a javítások vagy új szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

tvOS 10.0.1

Kiadási dátum: 2016. október 24.

AppleMobileFileIntegrity

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az aláírt végrehajtható fájlok ugyanazzal a csoportazonosítóval helyettesítettek kódokat.

Leírás: Érvényesítési hiba lépett fel a kódalapú aláírások kezelésekor. További érvényesítés bevezetésével küszöbölték ki a problémát.

CVE-2016-7584: Mark Mentovai és Boris Vidolov (Google Inc.)

Bejegyzés hozzáadva 2016. december 6-án.

CFNetwork proxyk

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Egy adathalászattal kapcsolatos probléma lépett fel a proxyk hitelesítési adatainak kezelésekor. Azáltal hárították el a problémát, hogy eltávolították a proxyk jelszavának hitelesítésére felszólító kéretlen párbeszédpaneleket.

CVE-2016-7579: Jerry Decime

CoreGraphics

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintésekor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4673 : Marco Grassi (@marcograss; KeenLab [@keen_lab]), Tencent

FontParser

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok elemzésekor felfedhetők voltak bizalmas jellegű felhasználói adatok.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2016-4660 : Ke Liu (Tencent; Xuanwu Lab)

FontParser

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

CVE-2016-4688: Simon Huang (Alipay company), thelongestusernameofall@gmail.com

Bejegyzés hozzáadva 2016. november 27-én.

Kernel

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Az alkalmazások fel tudták fedni a kernelmemóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2016-4680: Max Bazaliy (Lookout) és in7egral

Kernel

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A gyökérszintű jogosultsággal rendelkező helyi alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Több probléma fellépett az objektumok élettartamával kapcsolatban új folyamatok származtatásakor. Hatékonyabb ellenőrzéssel hárították el a problémákat.

CVE-2016-7613 : Ian Beer (Google Project Zero)

Bejegyzés hozzáadva 2016. november 1-jén.

libarchive

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A rosszindulatú archívumok felül tudtak írni tetszőleges fájlokat.

Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárították el a problémát.

CVE-2016-4679: Omer Medan (enSilo Ltd)

libxpc

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: További korlátozásokkal elhárítottak egy logikai hibát.

CVE-2016-4675 : Ian Beer (Google Project Zero)

Sandbox-profilok

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Az alkalmazások be tudták olvasni a fotókönyvtárak metaadatait.

Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Sandbox-profilok

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Az alkalmazások be tudták olvasni a hangfelvételeket tároló könyvtárak metaadatait.

Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Rendszerindítás

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.

Leírás: Több beviteli érvényesség-ellenőrzési hiba állt fenn a MIG által generált kódban. Hatékonyabb ellenőrzéssel hárították el a problémákat.

CVE-2016-4669 : Ian Beer (Google Project Zero)

WebKit

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy beviteli érvényesség-ellenőrzési problémát.

CVE-2016-4613: Chris Palmer

Bejegyzés frissítve 2016. október 27-én.

WebKit

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-4666: Apple

CVE-2016-4677 : anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következő készülékhez érhető el: 4. generációs Apple TV.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-7578: Apple

Bejegyzés hozzáadva 2016. október 27-én.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: