Informazioni sui contenuti di sicurezza di tvOS 10.0.1

In questo documento vengono descritti i contenuti di sicurezza di tvOS 10.0.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.

tvOS 10.0.1

Data di rilascio: 24 ottobre 2016

AppleMobileFileIntegrity

Disponibile per: Apple TV (4a generazione)

Impatto: un eseguibile firmato potrebbe sostituire il codice con lo stesso ID team

Descrizione: si verifica un problema di convalida nella gestione delle firme dei codici. Questo problema viene risolto attraverso una convalida aggiuntiva.

CVE-2016-7584: Mark Mentovai e Boris Vidolov di Google Inc.

Voce aggiunta il 6 dicembre 2016

Proxy CFNetwork

Disponibile per: Apple TV (4a generazione)

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni degli utenti

Descrizione: si verifica un problema di phishing nella gestione delle credenziali proxy. Questo problema viene risolto rimuovendo richieste indesiderate di autenticazione della password proxy.

CVE-2016-7579: Jerry Decime

CoreGraphics

Disponibile per: Apple TV (4a generazione)

Impatto: la visualizzazione di un file JPEG dannoso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-4673: Marco Grassi (@marcograss) di KeenLab (@keen_lab), Tencent

FontParser

Disponibile per: Apple TV (4a generazione)

Impatto: l'analisi di un font pericoloso può divulgare informazioni sensibili degli utenti

Descrizione: una lettura fuori dai limiti viene risolta attraverso un migliore controllo dei limiti.

CVE-2016-4660: Ke Liu di Tencent's Xuanwu Lab

FontParser

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file di font pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.

CVE-2016-4688: Simon Huang dell'azienda Alipay, thelongestusernameofall@gmail.com

Voce aggiunta il 27 novembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può essere in grado di divulgare la memoria del kernel

Descrizione: un problema di convalida viene risolto attraverso una migliore sanitizzazione dell'input.

CVE-2016-4680: Max Bazaliy di Lookout e in7egral

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione locale può eseguire codice arbitrario con privilegi root.

Descrizione: si verificano diversi problemi di durata degli oggetti quando si generano nuovi processi. Questi problemi vengono risolti con una migliore convalida.

CVE-2016-7613: Ian Beer di Google Project Zero

Voce aggiunta il 1° novembre 2016

libarchive

Disponibile per: Apple TV (4a generazione)

Impatto: un archivio pericoloso può essere in grado di sovrascrivere i file arbitrari

Descrizione: si verifica un problema all'interno della logica di convalida dei percorsi per i link simbolici. Questo problema viene risolto migliorando la sanitizzazione dei percorsi.

CVE-2016-4679: Omer Medan di enSilo Ltd

libxpc

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi root

Descrizione: un problema di logica viene risolto attraverso restrizioni aggiuntive.

CVE-2016-4675: Ian Beer di Google Project Zero

Profili delle sandbox

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può essere in grado di recuperare metadati di directory di foto

Descrizione: un problema di accesso viene risolto attraverso restrizioni delle sandbox aggiuntive su applicazioni di terze parti.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Profili delle sandbox

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può essere in grado di recuperare metadati di directory di registrazioni audio

Descrizione: un problema di accesso viene risolto attraverso restrizioni delle sandbox aggiuntive su applicazioni di terze parti.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Avvio del sistema

Disponibile per: Apple TV (4a generazione)

Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel

Descrizione: si verificano diversi problemi di convalida nei codici generati da MIG. Questi problemi vengono risolti attraverso una migliore convalida.

CVE-2016-4669: Ian Beer di Google Project Zero

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare la divulgazione delle informazioni dell'utente

Descrizione: un problema di convalida dell'input viene risolto attraverso una migliore gestione dello stato.

CVE-2016-4613: Chris Palmer

Voce aggiornata il 27 ottobre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2016-4666: Apple

CVE-2016-4677: un ricercatore anonimo in collaborazione con Trend Micro's Zero Day Initiative

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2016-7578: Apple

Voce aggiunta il 27 ottobre 2016

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: