Over de beveiligingsinhoud van tvOS 10

In dit document wordt de beveiligingsinhoud van tvOS 10 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van zijn klanten onthult, bespreekt of bevestigt Apple geen beveiligingsproblemen totdat een onderzoek heeft plaatsgevonden en er patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

tvOS 10

Releasedatum 13 september 2016

Audio

Beschikbaar voor: Apple TV (4e generatie)

Impact: een externe aanvaller kan willekeurige code uitvoeren

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park en Taekyoung Kwon van Information Security Lab, Yonsei University

Toegevoegd op 20 september 2016

CFNetwork

Beschikbaar voor: Apple TV (4e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gebruikersgegevens in gevaar brengen

Beschrijving: er was een invoervalidatieprobleem bij het parseren van de set-cookieheader. Dit probleem is verholpen door een verbeterde validatiecontrole.

CVE-2016-4708: Dawid Czagan van Silesia Security Lab

Toegevoegd op 20 september 2016

CoreCrypto

Beschikbaar voor: Apple TV (4e generatie)

Impact: een programma kan willekeurige code uitvoeren

Beschrijving: een probleem met een schrijfbewerking buiten het bereik is verholpen door de kwetsbare code te verwijderen.

CVE-2016-4712: Gergo Koteles

Toegevoegd op 20 september 2016

FontParser

Beschikbaar voor: Apple TV (4e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd lettertype kan leiden tot de openbaarmaking van procesgeheugen

Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2016-4718: Apple

Toegevoegd op 20 september 2016

IOAcceleratorFamily

Beschikbaar voor: Apple TV (4e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot de openbaarmaking van procesgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2016-4725: Rodger Combs van Plex, Inc.

Toegevoegd op 20 september 2016

IOAcceleratorFamily

Beschikbaar voor: Apple TV (4e generatie)

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4726: een anonieme onderzoeker

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: Apple TV (4e generatie)

Impact: een externe aanvaller kan mogelijk een denial of service veroorzaken

Beschrijving: een probleem met vergrendelingsverwerking is verholpen door een verbeterde vergrendelingsverwerking.

CVE-2016-4772: Marc Heuse van mh-sec

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: Apple TV (4e generatie)

Impact: een programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: er waren verschillende problemen met leesbewerking buiten het bereik, die resulteerden in de openbaarmaking van kernelgeheugen. Deze problemen zijn verholpen door een verbeterde invoervalidatie.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: Apple TV (4e generatie)

Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4775: Brandon Azad

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: Apple TV (4e generatie)

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een niet-vertrouwde pointer-dereferentie is verholpen door de getroffen code te verwijderen.

CVE-2016-4777: Lufeng Li van het Qihoo 360 Vulcan-team

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: Apple TV (4e generatie)

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4778: CESG

Toegevoegd op 20 september 2016

libxml2

Beschikbaar voor: Apple TV (4e generatie)

Impact: er waren meerdere problemen in libxml2, waarvan de ernstigste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Toegevoegd op 20 september 2016

libxslt

Beschikbaar voor: Apple TV (4e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4738: Nick Wellnhofer

Toegevoegd op 20 september 2016

Beveiliging

Beschikbaar voor: Apple TV (4e generatie)

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een validatieprobleem in ondertekende schijfimages. Dit probleem is verholpen door een verbeterde validatie van de grootte.

CVE-2016-4753: Mark Mentovai van Google Inc.

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: Apple TV (4e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: er was een parseerprobleem bij de verwerking van foutprototypen. Dit is verholpen door een verbeterde validatie.

CVE-2016-4728: Daniel Divricean

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: Apple TV (4e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: Natalie Silvanovich van Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo van Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anoniem, werkend met Zero Day Initiative van Trend Micro

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: Apple TV (4e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.

CVE-2016-4733: Natalie Silvanovich van Google Project Zero

CVE-2016-4765: Apple

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: Apple TV (4e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.

CVE-2016-4764: Apple

Toegevoegd op 3 november 2016

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: