Informazioni sui contenuti di sicurezza di tvOS 10

In questo documento vengono descritti i contenuti di sicurezza di tvOS 10.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.

tvOS 10

In commercio dal 13 settembre 2016

Audio

Disponibile per: Apple TV (4a generazione)

Impatto: un malintenzionato collegato in remoto potrebbe eseguire un codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park e Taekyoung Kwon di Information Security Lab, Yonsei University

Voce aggiunta il 20 settembre 2016

CFNetwork

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può compromettere le informazioni dell'utente

Descrizione: si verifica un problema di convalida dell'input nell'analisi dell'intestazione Set-Cookie. Questo problema viene risolto attraverso un migliore controllo della convalida.

CVE-2016-4708: Dawid Czagan di Silesia Security Lab

Voce aggiunta il 20 settembre 2016

CoreCrypto

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: viene risolto un problema di scrittura non nei limiti rimuovendo il codice vulnerabile.

CVE-2016-4712: Gergo Koteles

Voce aggiunta il 20 settembre 2016

FontParser

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un font dannoso può causare la divulgazione dei contenuti della memoria.

Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.

CVE-2016-4718: Apple

Voce aggiunta il 20 settembre 2016

IOAcceleratorFamily

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4725: Rodger Combs di Plex, Inc.

Voce aggiunta il 20 settembre 2016

IOAcceleratorFamily

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4726: un ricercatore anonimo

Voce aggiunta il 20 settembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.

Descrizione: un problema di gestione dei blocchi viene risolto attraverso una migliore gestione dei blocchi.

CVE-2016-4772: Marc Heuse di mh-sec

Voce aggiunta il 20 settembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel

Descrizione: si sono verificati numerosi problemi di lettura non nei limiti che causano la divulgazione della memoria del kernel. Questi problemi vengono risolti attraverso una migliore convalida dell'input.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Voce aggiunta il 20 settembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4775: Brandon Azad

Voce aggiunta il 20 settembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: si verifica un problema di dereferenziazione a un puntatore non attendibile rimuovendo il codice interessato.

CVE-2016-4777: Lufeng Li di Qihoo 360 Vulcan Team

Voce aggiunta il 20 settembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2016-4778: CESG

Voce aggiunta il 20 settembre 2016

libxml2

Disponibile per: Apple TV (4a generazione)

Impatto: diversi problemi in libxml2, il più significativo dei quali può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Voce aggiunta il 20 settembre 2016

libxslt

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4738: Nick Wellnhofer

Voce aggiunta il 20 settembre 2016

Sicurezza

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema

Descrizione: si verifica un problema di convalida nelle immagini del disco firmato. Questo problema viene risolto attraverso una migliore convalida delle dimensioni.

CVE-2016-4753: Mark Mentovai di Google Inc.

Voce aggiunta il 20 settembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: si verifica un problema di analisi nella gestione dei prototipi di errore. Questo problema viene risolto attraverso una migliore convalida.

CVE-2016-4728: Daniel Divricean

Voce aggiunta il 20 settembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: Natalie Silvanovich di Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo di Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 20 settembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione dello stato.

CVE-2016-4733: Natalie Silvanovich di Google Project Zero

CVE-2016-4765: Apple

Voce aggiunta il 20 settembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione dello stato.

CVE-2016-4764: Apple

Voce aggiunta il 3 novembre 2016

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: