Informazioni sui contenuti di sicurezza di tvOS 10.1
In questo documento vengono descritti i contenuti di sicurezza di tvOS 10.1.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
tvOS 10.1
Audio
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2016-7658: Haohao Kong di Keen Lab (@keen_lab) di Tencent
CVE-2016-7659: Haohao Kong di Keen Lab (@keen_lab) di Tencent
CoreFoundation
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di stringhe pericolose può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione delle stringhe. Questo problema viene risolto attraverso un migliore controllo dei limiti.
CVE-2016-7663: un ricercatore anonimo
CoreGraphics
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file di caratteri pericoloso può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di dereferenziazione del puntatore null viene risolto attraverso una migliore convalida dell'input.
CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM
Display esterni CoreMedia
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione locale può essere in grado di eseguire codice arbitrario nel contesto di un daemon mediaserver.
Descrizione: un problema di confusione dei tipi viene risolto attraverso una migliore gestione della memoria.
CVE-2016-7655: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro
CoreMedia Playback
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file .mp4 pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.
CVE-2016-7588: dragonltx di Huawei 2012 Laboratories
CoreText
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi vengono risolti attraverso una migliore verifica dei limiti.
CVE-2016-7595: riusksk(泉哥) di Tencent Security Platform Department
CoreText
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di una stringa dannosa può causare un'interruzione del servizio.
Descrizione: un errore durante il rendering dei range sovrapposti è stato risolto grazie a una migliore convalida.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) di Digital Unit (dgunit.com)
Immagini del disco
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7616: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro
FontParser
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi vengono risolti attraverso una migliore verifica dei limiti.
CVE-2016-4691: riusksk(泉哥) di Tencent Security Platform Department
ICU
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.
CVE-2016-7594: André Bargull
ImageIO
Disponibile per: Apple TV (4a generazione)
Impatto: un malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti viene risolto attraverso il miglioramento del controllo dei limiti.
CVE-2016-7643: Yangkang (@dnpushme) di Qihoo360 Qex Team
IOHIDFamily
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.
CVE-2016-7591: daybreaker di Minionz
IOKit
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria del kernel
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2016-7657: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro
IOKit
Disponibile per: Apple TV (4a generazione)
Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7714: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro
JavaScriptCore
Disponibile per: Apple TV (4a generazione)
Impatto: uno script in esecuzione in una sandbox di JavaScript può essere in grado di accedere allo stato esterno a tale sandbox
Descrizione: si verificava un problema di convalida nell'elaborazione JavaScript. Il problema è stato risolto attraverso una migliore convalida.
CVE-2016-4695: Mark S. Miller di Google
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.
CVE-2016-7606: @cocoahuke, Chen Qin di Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria del kernel
Descrizione: un problema di inizializzazione insufficiente è stato risolto tramite l'inizializzazione corretta della memoria restituita allo spazio utente.
CVE-2016-7607: Brandon Azad
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un utente locale può causare un'interruzione del servizio
Descrizione: un DoS viene risolto attraverso una migliore gestione della memoria.
CVE-2016-7615: National Cyber Security Centre (NCSC) nel Regno Unito
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel
Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.
CVE-2016-7621: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un utente locale può essere in grado di ottenere privilegi root.
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2016-7637: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio
Descrizione: un DoS viene risolto attraverso una migliore gestione della memoria.
CVE-2016-7647: Lufeng Li di Qihoo 360 Vulcan Team
libarchive
Disponibile per: Apple TV (4a generazione)
Impatto: un malintenzionato locale può essere in grado di sovrascrivere i file esistenti.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2016-7619: un ricercatore anonimo
Gestione dell'alimentazione
Disponibile per: Apple TV (4a generazione)
Impatto: un utente locale può essere in grado di ottenere privilegi root.
Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.
CVE-2016-7661: Ian Beer di Google Project Zero
Profili
Disponibile per: Apple TV (4a generazione)
Impatto: l'apertura di un certificato pericoloso potrebbe causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei profili dei certificati. Questo problema viene risolto attraverso una migliore convalida dell'input.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Sicurezza
Disponibile per: Apple TV (4a generazione)
Impatto: un malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo di crittografia 3DES.
Descrizione: 3DES è stato rimosso come crittografia predefinita.
CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan di INRIA Parigi
Sicurezza
Disponibile per: Apple TV (4a generazione)
Impatto: un malintenzionato con una posizione privilegiata in rete può causare un DoS ("Denial of Service").
Descrizione: si verificava un problema di convalida nella gestione degli URL del responder OCSP. Il problema è stato risolto verificando lo stato della revoca OCSP dopo la convalida della CA e limitando il numero di richieste OCSP per certificato.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Sicurezza
Disponibile per: Apple TV (4a generazione)
Impatto: i certificati potrebbero essere inaspettatamente valutati come attendibili.
Descrizione: si verificava un problema di valutazione dei certificati nella convalida dei certificati. Il problema è stato risolto attraverso un'ulteriore convalida dei certificati.
CVE-2016-7662: Apple
syslog
Disponibile per: Apple TV (4a generazione)
Impatto: un utente locale può essere in grado di ottenere privilegi root.
Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.
CVE-2016-7660: Ian Beer di Google Project Zero
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2016-4743: Alan Cutter
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione di informazioni sull'utente.
Descrizione: un problema di convalida è stato risolto attraverso una migliore gestione dello stato.
CVE-2016-7586: Boris Zbarsky
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione dello stato.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro
CVE-2016-7611: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
CVE-2016-7639: Tongbo Luo di Palo Alto Networks
CVE-2016-7640: Kai Kang di Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7641: Kai Kang di Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7642: Tongbo Luo di Palo Alto Networks
CVE-2016-7645: Kai Kang di Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7646: Kai Kang di Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7648: Kai Kang di Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7649: Kai Kang di Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7654: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di danneggiamento della memoria è stato risolto con una migliore gestione dello stato.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria
Descrizione: un problema di accesso alla memoria non inizializzata è stato risolto tramite una migliore inizializzazione della memoria.
CVE-2016-7598: Samuel Groß
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione di informazioni sull'utente.
Descrizione: si verificava un problema di gestione dei reindirizzamenti HTTP. Il problema è stato risolto attraverso una migliore convalida tra origini.
CVE-2016-7599: Muneaki Nishimura (nishimunea) di Recruit Technologies Co., Ltd.
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto con una migliore gestione dello stato.
CVE-2016-7632: Jeonghoon Shin
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.