Tentang konten keamanan tvOS 9.2.2

Dokumen ini menjelaskan konten keamanan tvOS 9.2.2.

Tentang pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID bila memungkinkan.

tvOS 9.2.2

Kredensial CFNetwork

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Masalah penurunan muncul dengan kredensial pengesahan HTTP yang disimpan di Rantai Kunci. Masalah ini telah diatasi dengan menyimpan jenis pengesahan dengan kredensial.

CVE-2016-4644: Jerry Decime dikoordinasi melalui CERT

Proxy CFNetwork

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Masalah validasi muncul saat menguraikan respons 407. Masalah ini telah diatasi melalui validasi respons yang ditingkatkan.

CVE-2016-4643: Xiaofeng Zheng dari Tim Blue Lotus, Tsinghua University; Jerry Decime dikoordinasi melalui CERT

Proxy CFNetwork

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Aplikasi mungkin dapat diam-diam mengirim kata sandi tidak terenkripsi melalui jaringan

Deskripsi: Pengesahan proxy salah melaporkan proxy HTTP yang menerima kredensial dengan aman. Masalah ini telah diatasi melalui peringatan yang ditingkatkan.

CVE-2016-4642: Jerry Decime dikoordinasi melalui CERT

CoreGraphics

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4637: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4632: Evgeny Sidorov dari Yandex

ImageIO

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4631: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7705: Craig Young dari Tripwire VERT

IOAcceleratorFamily

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang ditingkatkan.

CVE-2016-4627: Ju Zhu dari Trend Micro

IOHIDFamily

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4626: Stefan Esser dari SektionEins

Kernel

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-1863: Ian Beer dari Google Project Zero

CVE-2016-4653: Ju Zhu dari Trend Micro

CVE-2016-4582: Shrek_wzw dan Proteas dari Qihoo 360 Nirvan Team

Kernel

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) dari KeenLab(@keen_lab), Tencent

libxml2

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Menguraikan dokumen XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah akses muncul saat menguraikan file XML perusak yang berbahaya. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4449: Kostya Serebryany

libxml2

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Beberapa kerentanan dalam libxml2

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2015-8317 : Hanno Boeck

CVE-2016-1836: Wei Lei dan Liu Yang dari Nanyang Technological University

CVE-2016-4447: Wei Lei dan Liu Yang dari Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

libxslt

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Beberapa kerentanan dalam libxslt

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-1683 : Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Profil Sandbox

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Aplikasi lokal dapat mengakses daftar proses

Deskripsi: Masalah akses muncul pada panggilan API istimewa. Masalah ini telah diatasi dengan pembatasan tambahan.

CVE-2016-4594: Stefan Esser dari SektionEins

WebKit

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4586: Apple

CVE-2016-4588: Apple

CVE-2016-4589: Tongbo Luo dan Bo Qu of Palo Alto Networks

CVE-2016-4622: Samuel Gross bekerja sama dengan Zero Day Initiative dari Trend Micro

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Memproses konten web perusak yang berbahaya dapat mengungkapkan data gambar dari situs web lain

Deskripsi: Masalah pengaturan waktu muncul di dalam pemrosesan SVG. Masalah ini telah diatasi dengan validasi yang ditingkatkan

CVE-2016-4583: Roeland Krak

WebKit

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah inisialisasi memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4587: Apple

WebKit

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Mengunjungi halaman web perusak yang berbahaya dapat membocorkan data yang sensitif

Deskripsi: Masalah izin muncul saat menangani variabel lokasi. Masalah ini telah diatasi melalui pemeriksaan kepemilikan tambahan.

CVE-2016-4591: ma.la dari LINE Corporation

WebKit

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan penolakan sistem layanan

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4592: Mikhail

Pemuatan Halaman WebKit

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi

kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi

melalui penanganan memori yang ditingkatkan.

CVE-2016-4584: Chris Vienneau

Pemuatan Halaman WebKit

Tersedia untuk: Apple TV (generasi ke-4)

Dampak: Situs web yang berbahaya dapat menarik data lintas sumber

Deskripsi: Masalah skrip lintas situs muncul di pengarahan ulang URL Safari. Masalah ini diatasi melalui peningkatan validasi URL pada pengarahan ulang.

CVE-2016-4585: Takeshi Terada dari Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)