Informazioni sui contenuti di sicurezza di tvOS 10.2

In questo documento vengono descritti i contenuti di sicurezza di tvOS 10.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

tvOS 10.2

Rilasciato il 27 marzo 2017

Audio

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2430: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2462: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

Carbon

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file con estensione .dfont pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) di Tencent Security Platform Department

CoreGraphics

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.

Descrizione: una ricorsione infinita è stata risolta tramite una migliore gestione dello stato.

CVE-2017-2417: riusksk (泉哥) di Tencent Security Platform Department

CoreGraphics

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2444: Mei Wang di 360 GearTeam

CoreText

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un messaggio di testo pericoloso può causare l'interruzione del servizio di un'applicazione.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2461: un ricercatore anonimo, Isaac Archambault di IDAoADI

FontParser

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2487: riusksk (泉哥) di Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file di font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2407: riusksk (泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Disponibile per: Apple TV (4a generazione)

Impatto: un server HTTP/2 pericoloso potrebbe causare un comportamento non definito.

Descrizione: nelle versioni di nghttp2 precedenti alla 1.17.0 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di nghttp2 alla versione 1.17.0.

CVE-2017-2428

Voce aggiornata il 28 marzo 2017

ImageIO

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un'immagine pericolosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) di KeenLab, Tencent

ImageIO

Disponibile per: Apple TV (4a generazione)

Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2432: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un file pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2467

ImageIO

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un'immagine pericolosa può causare la chiusura improvvisa dell'applicazione.

Descrizione: nelle versioni di LibTIFF precedenti alla 4.0.7 esisteva un problema di lettura non nei limiti, che è stato risolto con l'aggiornamento di LibTIFF in ImageIO alla versione 4.0.7.

CVE-2016-3619

JavaScriptCore

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2491: Apple

Voce aggiunta il 2 maggio 2017

JavaScriptCore

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di una pagina web pericolosa può comportare lo scripting cross-site universale.

Descrizione: un problema del prototipo è stato risolto attraverso una migliore logica.

CVE-2017-2492: lokihardt di Google Project Zero

Voce aggiornata il 24 aprile 2017

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2401: Lufeng Li di Qihoo 360 Vulcan Team

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2017-2440: un ricercatore anonimo

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root.

Descrizione: una race condition è stata risolta attraverso una migliore gestione della memoria.

CVE-2017-2456: lokihardt di Google Project Zero

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2472: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2473: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un errore off-by-one è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2474: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta mediante un blocco migliore.

CVE-2017-2478: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2482: Ian Beer di Google Project Zero

CVE-2017-2483: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi elevati.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2490: Ian Beer di Google Project Zero, National Cyber Security Centre (NCSC) del Regno Unito

Voce aggiunta il 31 marzo 2017

Tastiere

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2458: Shashank (@cyberboyIndia)

Portachiavi

Disponibile per: Apple TV (4a generazione)

Impatto: un malintenzionato in grado di intercettare connessioni TLS può essere in grado di leggere informazioni riservate protette dal portachiavi iCloud.

Descrizione: in alcune circostanze, il portachiavi iCloud non riusciva a convalidare l'autenticità dei pacchetti OTR. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2448: Alex Radocea di Longterm Security, Inc.

Voce aggiornata il 30 marzo 2017

libarchive

Disponibile per: Apple TV (4a generazione)

Impatto: un utente malintenzionato locale può essere in grado di modificare le autorizzazioni del file system in directory arbitrarie.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2017-2390: Omer Medan di enSilo Ltd

libc++abi

Disponibile per: Apple TV (4a generazione)

Impatto: il demangling di un'applicazione C++ pericolosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2441

libxslt

Disponibile per: Apple TV (4a generazione)

Impatto: si verificano diverse vulnerabilità in libxslt.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-5029: Holger Fuhrmannek

Voce aggiunta il 28 marzo 2017

Sicurezza

Disponibile per: Apple TV (4a generazione)

Impatto: un'applicazione può eseguire codice arbitrario con privilegi root.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2451: Alex Radocea di Longterm Security, Inc.

Sicurezza

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un certificato x509 pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'analisi dei certificati. Questo problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2485: Aleksandar Nikolic di Cisco Talos

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: un problema di accesso al prototipo è stato risolto attraverso una migliore gestione delle eccezioni.

CVE-2017-2386: André Bargull

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric di Google Project Zero, Zheng Huang di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2455: Ivan Fratric di Google Project Zero

CVE-2017-2459: Ivan Fratric di Google Project Zero

CVE-2017-2460: Ivan Fratric di Google Project Zero

CVE-2017-2464: Natalie Silvanovich di Google Project Zero, Jeonghoon Shin

CVE-2017-2465: Zheng Huang e Wei Yuan di Baidu Security Lab

CVE-2017-2466: Ivan Fratric di Google Project Zero

CVE-2017-2468: lokihardt di Google Project Zero

CVE-2017-2469: lokihardt di Google Project Zero

CVE-2017-2470: lokihardt di Google Project Zero

CVE-2017-2476: Ivan Fratric di Google Project Zero

CVE-2017-2481: 0011 in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiornata il 20 giugno 2017

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2415: Kai Kang di Tencent's Xuanwu Lab (tentcent.com)

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può comportare un elevato utilizzo della memoria.

Descrizione: un problema di utilizzo incontrollato delle risorse è stato risolto migliorando l'elaborazione regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: un sito web pericoloso può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.

CVE-2017-2367: lokihardt di Google Project Zero

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può comportare lo scripting cross-site universale.

Descrizione: si verificava un problema logico nella gestione degli oggetti frame. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2445: lokihardt di Google Project Zero

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema logico nella gestione delle funzioni strict mode. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2446: Natalie Silvanovich di Google Project Zero

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'accesso a un sito web pericoloso può compromettere le informazioni dell'utente.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2447: Natalie Silvanovich di Google Project Zero

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-2463: Kai Kang (4B5F5F4B) di Tencent's Xuanwu Lab (tencent.com) in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 28 marzo 2017

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può comportare lo scripting cross-site universale.

Descrizione: si verificava un problema logico nella gestione dei frame. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2475: lokihardt di Google Project Zero

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione degli elementi. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2479: lokihardt di Google Project Zero

Voce aggiunta il 28 marzo 2017

WebKit

Disponibile per: Apple TV (4a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione degli elementi. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2480: lokihardt di Google Project Zero

CVE-2017-2493: lokihardt di Google Project Zero

Voce aggiornata il 24 aprile 2017

Altri riconoscimenti

XNU

Ringraziamo Lufeng Li di Qihoo 360 Vulcan Team per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: