Tentang pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID bila memungkinkan.
tvOS 9.2.2
Dirilis 18 Juli 2016
Kredensial CFNetwork
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah penurunan muncul dengan kredensial pengesahan HTTP yang disimpan di Rantai Kunci. Masalah ini telah diatasi dengan menyimpan jenis pengesahan dengan kredensial.
CVE-2016-4644: Jerry Decime dikoordinasi melalui CERT
Proxy CFNetwork
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah validasi muncul saat menguraikan respons 407. Masalah ini telah diatasi melalui validasi respons yang ditingkatkan.
CVE-2016-4643: Xiaofeng Zheng dari Tim Blue Lotus, Tsinghua University; Jerry Decime dikoordinasi melalui CERT
Proxy CFNetwork
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Aplikasi mungkin dapat diam-diam mengirim kata sandi tidak terenkripsi melalui jaringan
Deskripsi: Pengesahan proxy salah melaporkan proxy HTTP yang menerima kredensial dengan aman. Masalah ini telah diatasi melalui peringatan yang ditingkatkan.
CVE-2016-4642: Jerry Decime dikoordinasi melalui CERT
CoreGraphics
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4637: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4632: Evgeny Sidorov dari Yandex
ImageIO
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4631: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7705: Craig Young dari Tripwire VERT
Entri ditambahkan pada 30 November 2017
IOAcceleratorFamily
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang ditingkatkan.
CVE-2016-4627: Ju Zhu dari Trend Micro
IOHIDFamily
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4626: Stefan Esser dari SektionEins
Kernel
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-1863: Ian Beer dari Google Project Zero
CVE-2016-4653: Ju Zhu dari Trend Micro
CVE-2016-4582: Shrek_wzw dan Proteas dari Qihoo 360 Nirvan Team
Kernel
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) dari KeenLab(@keen_lab), Tencent
libxml2
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Menguraikan dokumen XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah akses muncul saat menguraikan file XML perusak yang berbahaya. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4449: Kostya Serebryany
libxml2
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Beberapa kerentanan dalam libxml2
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2015-8317 : Hanno Boeck
CVE-2016-1836: Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-4447: Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
Entri diperbarui tanggal 5 Juni 2017
libxslt
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Beberapa kerentanan dalam libxslt
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-1683 : Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Entri diperbarui tanggal 11 April 2017
Profil Sandbox
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Aplikasi lokal dapat mengakses daftar proses
Deskripsi: Masalah akses muncul pada panggilan API istimewa. Masalah ini telah diatasi dengan pembatasan tambahan.
CVE-2016-4594: Stefan Esser dari SektionEins
WebKit
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4586: Apple
CVE-2016-4588: Apple
CVE-2016-4589: Tongbo Luo dan Bo Qu of Palo Alto Networks
CVE-2016-4622: Samuel Gross bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Memproses konten web perusak yang berbahaya dapat mengungkapkan data gambar dari situs web lain
Deskripsi: Masalah pengaturan waktu muncul di dalam pemrosesan SVG. Masalah ini telah diatasi dengan validasi yang ditingkatkan
CVE-2016-4583: Roeland Krak
WebKit
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah inisialisasi memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4587: Apple
WebKit
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Mengunjungi halaman web perusak yang berbahaya dapat membocorkan data yang sensitif
Deskripsi: Masalah izin muncul saat menangani variabel lokasi. Masalah ini telah diatasi melalui pemeriksaan kepemilikan tambahan.
CVE-2016-4591: ma.la dari LINE Corporation
WebKit
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan penolakan sistem layanan
Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4592: Mikhail
Pemuatan Halaman WebKit
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi
kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi
melalui penanganan memori yang ditingkatkan.
CVE-2016-4584: Chris Vienneau
Pemuatan Halaman WebKit
Tersedia untuk: Apple TV (generasi ke-4)
Dampak: Situs web yang berbahaya dapat menarik data lintas sumber
Deskripsi: Masalah skrip lintas situs muncul di pengarahan ulang URL Safari. Masalah ini diatasi melalui peningkatan validasi URL pada pengarahan ulang.
CVE-2016-4585: Takeshi Terada dari Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)