Om sikkerhetsinnholdet i tvOS 10

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 10.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple Produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

tvOS 10

Utgitt 13. september 2016

Lyd

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: En angriper utenfra kan være i stand til å kjøre tilfeldig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnebehandling.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park og Taekyoung Kwon fra Information Security Lab ved Yonsei-universitetet

Oppføring lagt til 20. september 2016

CFNetwork

Tilgjengelig for: Apple TV (4. generasjon)

Beskrivelse: Behandling av skadelig nettinnhold kan sette brukerinformasjon i fare

Beskrivelse: Det var et problem med validering av inndata i analysen av set-cookie-overskriften. Problemet ble løst gjennom forbedret valideringskontroll.

CVE-2016-4708: Dawid Czagan fra Silesia Security Lab

Oppføring lagt til 20. september 2016

CoreCrypto

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Et program kan kanskje utføre vilkårlig kode

Beskrivelse: Et problem med skriving utenfor grensene ble løst gjennom fjerning av den sårbare koden.

CVE-2016-4712: Gergo Koteles

Oppføring lagt til 20. september 2016

FontParser

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Behandling av en skadelig font kan føre til at prosessminne i avsløres

Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.

CVE-2016-4718: Apple

Oppføring lagt til 20. september 2016

IOAcceleratorFamily

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-4725: Rodger Combs fra Plex, Inc.

Oppføring lagt til 20. september 2016

IOAcceleratorFamily

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnebehandling.

CVE-2016-4726: en anonym forsker

Oppføring lagt til 20. september 2016

Kjerne

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: En ekstern angriper kan forårsake nekting av tjeneste

Beskrivelse: Et problem med låshåndtering ble løst gjennom forbedret låshåndtering.

CVE-2016-4772: Marc Heuse fra mh-sec

Oppføring lagt til 20. september 2016

Kjerne

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Et program kan være i stand til å fastslå layouten til kjerneminne

Beskrivelse: Det var flere problemer med lesing utenfor grensene som førte til avsløring av kjerneminne. Disse ble løst gjennom forbedret validering av inndata.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Oppføring lagt til 20. september 2016

Kjerne

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnebehandling.

CVE-2016-4775: Brandon Azad

Oppføring lagt til 20. september 2016

Kjerne

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: En uklarert peker-dereferanse ble løst gjennom fjerning av den påvirkede koden.

CVE-2016-4777: Lufeng Li fra Qihoo 360 Vulcan Team

Oppføring lagt til 20. september 2016

Kjerne

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4778: CESG

Oppføring lagt til 20. september 2016

libxml2

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Flere problemer i libxml2, hvorav det viktigste kan føre til uventet avslutning av et program eller vilkårlig utføring av kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Oppføring lagt til 20. september 2016

libxslt

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnebehandling.

CVE-2016-4738: Nick Wellnhofer

Oppføring lagt til 20. september 2016

Sikkerhet

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

Beskrivelse: Det var et valideringsproblem i signerte diskfiler. Problemet ble løst gjennom forbedret validering av størrelse.

CVE-2016-4753: Mark Mentovai fra Google Inc.

Oppføring lagt til 20. september 2016

WebKit

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Det var et analyseproblem i håndteringen av feilprototyper. Dette ble håndtert ved forbedret validering.

CVE-2016-4728: Daniel Divricean

Oppføring lagt til 20. september 2016

WebKit

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: Natalie Silvanovich fra Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo fra Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Anonym som jobber med Trend Micros Zero Day Initiative

Oppføring lagt til 20. september 2016

WebKit

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2016-4733: Natalie Silvanovich fra Google Project Zero

CVE-2016-4765: Apple

Oppføring lagt til 20. september 2016

WebKit

Tilgjengelig for: Apple TV (4. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2016-4764: Apple

Oppføring lagt til 3. november 2016

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: