Informazioni sui contenuti di sicurezza di tvOS 10.1

In questo documento vengono descritti i contenuti di sicurezza di tvOS 10.1.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

tvOS 10.1

Rilasciato il 12 dicembre 2016

Audio

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-7658: Haohao Kong di Keen Lab (@keen_lab) di Tencent

CVE-2016-7659: Haohao Kong di Keen Lab (@keen_lab) di Tencent

Voce aggiunta il 13 dicembre 2016

CoreFoundation

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di stringhe pericolose può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione delle stringhe. Questo problema viene risolto attraverso un migliore controllo dei limiti.

CVE-2016-7663: un ricercatore anonimo

Voce aggiunta il 13 dicembre 2016

CoreGraphics

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file di caratteri pericoloso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di dereferenziazione del puntatore null viene risolto attraverso una migliore convalida dell'input.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

Voce aggiunta il 13 dicembre 2016

Display esterni CoreMedia

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione locale può essere in grado di eseguire codice arbitrario nel contesto di un daemon mediaserver.

Descrizione: un problema di confusione dei tipi viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7655: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 13 dicembre 2016

CoreMedia Playback

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file .mp4 pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7588: dragonltx di Huawei 2012 Laboratories

Voce aggiunta il 13 dicembre 2016

CoreText

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi vengono risolti attraverso una migliore verifica dei limiti.

CVE-2016-7595: riusksk(泉哥) di Tencent Security Platform Department

Voce aggiunta il 13 dicembre 2016

CoreText

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di una stringa dannosa può causare un'interruzione del servizio.

Descrizione: un errore durante il rendering dei range sovrapposti è stato risolto grazie a una migliore convalida.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) di Digital Unit (dgunit.com)

Voce aggiunta il 15 dicembre 2016

Immagini del disco

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7616: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 13 dicembre 2016

FontParser

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi vengono risolti attraverso una migliore verifica dei limiti.

CVE-2016-4691: riusksk(泉哥) di Tencent Security Platform Department

Voce aggiunta il 13 dicembre 2016

ICU

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7594: André Bargull

Voce aggiunta il 13 dicembre 2016

ImageIO

Disponibile per: Apple TV (4a generazione)

Impatto: un malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti viene risolto attraverso il miglioramento del controllo dei limiti.

CVE-2016-7643: Yangkang (@dnpushme) di Qihoo360 Qex Team

Voce aggiunta il 13 dicembre 2016

IOHIDFamily

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7591: daybreaker di Minionz

Voce aggiunta il 13 dicembre 2016

IOKit

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può essere in grado di leggere la memoria del kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-7657: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 13 dicembre 2016

IOKit

Disponibile per: Apple TV (4a generazione)

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7714: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 25 gennaio 2017

JavaScriptCore

Disponibile per: Apple TV (4a generazione)

Impatto: uno script in esecuzione in una sandbox di JavaScript può essere in grado di accedere allo stato esterno a tale sandbox

Descrizione: si verificava un problema di convalida nell'elaborazione JavaScript. Il problema è stato risolto attraverso una migliore convalida.

CVE-2016-4695: Mark S. Miller di Google

Voce aggiunta il 16 agosto 2017

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel 

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.

CVE-2016-7606: @cocoahuke, Chen Qin di Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer di Google Project Zero

Voce aggiunta il 13 dicembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può essere in grado di leggere la memoria del kernel

Descrizione: un problema di inizializzazione insufficiente è stato risolto tramite l'inizializzazione corretta della memoria restituita allo spazio utente.

CVE-2016-7607: Brandon Azad

Voce aggiunta il 13 dicembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: un DoS viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7615: National Cyber Security Centre (NCSC) nel Regno Unito

Voce aggiunta il 13 dicembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel

Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7621: Ian Beer di Google Project Zero

Voce aggiunta il 13 dicembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-7637: Ian Beer di Google Project Zero

Voce aggiunta il 13 dicembre 2016

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio

Descrizione: un DoS viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7647: Lufeng Li di Qihoo 360 Vulcan Team

Voce aggiunta il 17 maggio 2017

libarchive

Disponibile per: Apple TV (4a generazione)

Impatto: un malintenzionato locale può essere in grado di sovrascrivere i file esistenti.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2016-7619: un ricercatore anonimo

Voce aggiunta il 13 dicembre 2016

Gestione dell'alimentazione

Disponibile per: Apple TV (4a generazione)

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.

CVE-2016-7661: Ian Beer di Google Project Zero

Voce aggiunta il 13 dicembre 2016

Profili

Disponibile per: Apple TV (4a generazione)

Impatto: l'apertura di un certificato pericoloso potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei profili dei certificati. Questo problema viene risolto attraverso una migliore convalida dell'input.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Sicurezza

Disponibile per: Apple TV (4a generazione)

Impatto: un malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo di crittografia 3DES.

Descrizione: 3DES è stato rimosso come crittografia predefinita.

CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan di INRIA Parigi

Voce aggiunta il 13 dicembre 2016

Sicurezza

Disponibile per: Apple TV (4a generazione)

Impatto: un malintenzionato con una posizione privilegiata in rete può causare un DoS ("Denial of Service").

Descrizione: si verificava un problema di convalida nella gestione degli URL del responder OCSP. Il problema è stato risolto verificando lo stato della revoca OCSP dopo la convalida della CA e limitando il numero di richieste OCSP per certificato.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Voce aggiunta il 13 dicembre 2016

Sicurezza

Disponibile per: Apple TV (4a generazione)

Impatto: i certificati potrebbero essere inaspettatamente valutati come attendibili.

Descrizione: si verificava un problema di valutazione dei certificati nella convalida dei certificati. Il problema è stato risolto attraverso un'ulteriore convalida dei certificati.

CVE-2016-7662: Apple

Voce aggiunta il 13 dicembre 2016

syslog

Disponibile per: Apple TV (4a generazione)

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.

CVE-2016-7660: Ian Beer di Google Project Zero

Voce aggiunta il 13 dicembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Voce aggiunta il 13 dicembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2016-4743: Alan Cutter

Voce aggiunta il 13 dicembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione di informazioni sull'utente.

Descrizione: un problema di convalida è stato risolto attraverso una migliore gestione dello stato.

CVE-2016-7586: Boris Zbarsky

Voce aggiunta il 13 dicembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione dello stato.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro

CVE-2016-7611: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

CVE-2016-7639: Tongbo Luo di Palo Alto Networks

CVE-2016-7640: Kai Kang di Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7641: Kai Kang di Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7642: Tongbo Luo di Palo Alto Networks

CVE-2016-7645: Kai Kang di Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7646: Kai Kang di Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7648: Kai Kang di Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7649: Kai Kang di Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7654: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 13 dicembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto con una migliore gestione dello stato.

CVE-2016-7589: Apple

CVE-2016-7656: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 13 dicembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria

Descrizione: un problema di accesso alla memoria non inizializzata è stato risolto tramite una migliore inizializzazione della memoria.

CVE-2016-7598: Samuel Groß

Voce aggiunta il 13 dicembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione di informazioni sull'utente.

Descrizione: si verificava un problema di gestione dei reindirizzamenti HTTP. Il problema è stato risolto attraverso una migliore convalida tra origini.

CVE-2016-7599: Muneaki Nishimura (nishimunea) di Recruit Technologies Co., Ltd.

Voce aggiunta il 13 dicembre 2016

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto con una migliore gestione dello stato.

CVE-2016-7632: Jeonghoon Shin

Voce aggiunta il 13 dicembre 2016

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: