tvOS 9.2.1 のセキュリティコンテンツについて
tvOS 9.2.1 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
tvOS 9.2.1
CFNetwork Proxies
対象:Apple TV (第 4 世代)
影響:ネットワーク上の特権的な地位を利用した攻撃者が、重要なユーザ情報を漏洩させる可能性がある。
説明:HTTP リクエストおよび HTTPS リクエストの処理に、情報漏洩の脆弱性が存在します。この問題は、URL の処理を改善することで解決されました。
CVE-ID
CVE-2016-1801:Context Information Security の Alex Chapman 氏および Paul Stone 氏
CommonCrypto
対象:Apple TV (第 4 世代)
影響:悪意のあるアプリケーションにより、重要なユーザ情報が漏洩する可能性がある。
説明:CCCrypt における戻り値の処理に脆弱性が存在します。この問題は、鍵長の管理を強化することで解決されました。
CVE-ID
CVE-2016-1802:Klaus Rodewig 氏
CoreCapture
対象:Apple TV (第 4 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-ID
CVE-2016-1803:Google Project Zero の Ian Beer 氏、Trend Micro の Zero Day Initiative に協力する daybreaker 氏
Disk Images
対象:Apple TV (第 4 世代)
影響:アプリケーションが、カーネルメモリを読み取れる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-ID
CVE-2016-1807:Google Project Zero の Ian Beer 氏
Disk Images
対象:Apple TV (第 4 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:ディスクイメージの解析に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2016-1808:Trend Micro の Moony Li 氏 (@Flyic) および Jack Tang 氏 (@jacktang310)
ImageIO
対象:Apple TV (第 4 世代)
影響:悪意を持って作成されたイメージを処理すると、サービス運用妨害を受ける可能性がある。
説明:検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-ID
CVE-2016-1811:Lander Brandt 氏 (@landaire)
IOAcceleratorFamily
対象:Apple TV (第 4 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ破損の問題は、メモリ処理を改善することで解決されました。
CVE-ID
CVE-2016-1817:Trend Micro の Zero Day Initiative に協力する Trend Micro の Moony Li 氏 (@Flyic) および Jack Tang 氏 (@jacktang310)
CVE-2016-1818:Trend Micro の Juwei Lin 氏、Trend Micro の Zero Day Initiative に協力する sweetchip@GRAYHASH 氏
2016 年 12 月 13 日に更新
IOAcceleratorFamily
対象:Apple TV (第 4 世代)
影響:アプリケーションから、サービス運用妨害を受ける可能性がある。
説明:ヌルポインタの逆参照は、ロックの改善によって解決されました。
CVE-ID
CVE-2016-1814:TrendMicro の Juwei Lin 氏
IOAcceleratorFamily
対象:Apple TV (第 4 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ破損の脆弱性は、ロックの改善によって解決されました。
CVE-ID
CVE-2016-1819:Google Project Zero の Ian Beer 氏
IOAcceleratorFamily
対象:Apple TV (第 4 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-ID
CVE-2016-1813:Google Project Zero の Ian Beer 氏
IOHIDFamily
対象:Apple TV (第 4 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ破損の問題は、メモリ処理を改善することで解決されました。
CVE-ID
CVE-2016-1823:Google Project Zero の Ian Beer 氏
CVE-2016-1824:Tencent の KeenLab (@keen_lab) の Marco Grassi 氏 (@marcograss)
CVE-2016-4650:HP の Zero Day Initiative に協力する Trend Micro の Peter Pi 氏
Kernel
対象:Apple TV (第 4 世代)
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ処理の改善により、複数のメモリ破損の問題が解決されました。
CVE-ID
CVE-2016-1827:Brandon Azad 氏
CVE-2016-1828:Brandon Azad 氏
CVE-2016-1829:CESG
CVE-2016-1830:Brandon Azad 氏
libc
対象:Apple TV (第 4 世代)
影響:アプリケーションにより、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:メモリ破損の問題は、入力検証の改善によって解決されました。
CVE-ID
CVE-2016-1832:Karl Williamson 氏
libxml2
対象:Apple TV (第 4 世代)
影響:悪意を持って作成された XML を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:メモリ処理の改善により、複数のメモリ破損の問題が解決されました。
CVE-ID
CVE-2016-1833:Mateusz Jurczyk 氏
CVE-2016-1834:Apple
CVE-2016-1836:南洋理工大学の Wei Lei 氏および Liu Yang 氏
CVE-2016-1837:南洋理工大学の Wei Lei 氏および Liu Yang 氏
CVE-2016-1838:Mateusz Jurczyk 氏
CVE-2016-1839:Mateusz Jurczyk 氏
CVE-2016-1840:Kostya Serebryany 氏
libxslt
対象:Apple TV (第 4 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ破損の問題は、メモリ処理を改善することで解決されました。
CVE-ID
CVE-2016-1841:Sebastian Apelt 氏
OpenGL
対象:Apple TV (第 4 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を改善することで、複数のメモリ破損の問題が解決されました。
CVE-ID
CVE-2016-1847:Palo Alto Networks の Tongbo Luo 氏および Bo Qu 氏
WebKit
対象:Apple TV (第 4 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、別の Web サイトからデータを開示される場合がある。
説明:svg イメージの解析処理における汚染追跡不十分の脆弱性に、汚染追跡を強化することで対処しました。
CVE-ID
CVE-2016-1858:匿名の研究者
WebKit
対象:Apple TV (第 4 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を改善することで、複数のメモリ破損の問題が解決されました。
CVE-ID
CVE-2016-1854:Trend Micro の Zero Day Initiative に協力する匿名の研究者
CVE-2016-1855:Palo Alto Networks の Tongbo Luo 氏および Bo Qu 氏
CVE-2016-1856:Trend Micro の Zero Day Initiative に協力する lokihardt 氏
CVE-2016-1857:Trend Micro の Zero Day Initiative に協力する Tencent の KeenLab の Jeonghoon Shin@A.D.D 氏、Liang Chen 氏、Zhen Feng 氏、wushi 氏
WebKit Canvas
対象:Apple TV (第 4 世代)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を改善することで、複数のメモリ破損の問題が解決されました。
CVE-ID
CVE-2016-1859:Trend Micro の Zero Day Initiative に協力する Tencent の KeenLab の Liang Chen 氏、wushi 氏
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。