Zawartość związana z zabezpieczeniami w systemie tvOS 9.2.2
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 9.2.2.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
tvOS 9.2.2
Poświadczenia środowiska CFNetwork
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.
Opis: w poświadczeniach uwierzytelniania zachowanych w pęku kluczy występował błąd degradacji. Ten błąd naprawiono przez przechowywanie typów uwierzytelniania z poświadczeniami.
CVE-2016-4644: Jerry Decime koordynowany przez CERT
Serwery proxy środowiska CFNetwork
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.
Opis: w procedurze analizowania odpowiedzi 407 występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury weryfikacji odpowiedzi.
CVE-2016-4643: Xiaofeng Zheng z Blue Lotus Team, Tsinghua University; Jerry Decime koordynowany przez CERT
Serwery proxy środowiska CFNetwork
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może nieświadomie wysyłać hasło w postaci niezaszyfrowanej przez sieć.
Opis: uwierzytelnianie serwera proxy niepoprawnie zgłaszało, że serwery proxy HTTP odebrały poświadczenia w sposób bezpieczny. Ten błąd naprawiono przez poprawienie ostrzegania.
CVE-2016-4642: Jerry Decime koordynowany przez CERT
CoreGraphics
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4637: Tyler Bohan z Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4632: Evgeny Sidorov z Yandex
ImageIO
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4631: Tyler Bohan z Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-7705: Craig Young z Tripwire VERT
IOAcceleratorFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.
CVE-2016-4627: Ju Zhu z Trend Micro
IOHIDFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-4626: Stefan Esser z SektionEins
Jądro
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-1863: Ian Beer z zespołu Project Zero firmy Google
CVE-2016-4653: Ju Zhu z Trend Micro
CVE-2016-4582: Shrek_wzw i Proteas z Qihoo 360 Nirvan Team
Jądro
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) z KeenLab(@keen_lab), Tencent
libxml2
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: w procedurze analizowania złośliwie spreparowanych plików XML występował błąd dostępu. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-4449: Kostya Serebryany
libxml2
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxml2.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2015-8317 : Hanno Boeck
CVE-2016-1836: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-4447: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxslt
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxslt.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Profile piaskownicy
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja lokalna może uzyskać dostęp do listy procesów.
Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.
CVE-2016-4594: Stefan Esser z SektionEins
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4586: Apple
CVE-2016-4588: Apple
CVE-2016-4589: Tongbo Luo i Bo Qu z Palo Alto Networks
CVE-2016-4622: Samuel Gross w ramach programu Zero Day Initiative firmy Trend Micro.
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować ujawnienie danych obrazów z innej witryny.
Opis: w procedurze przetwarzania obrazów SVG występował błąd zarządzania czasem. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.
CVE-2016-4583: Roeland Krak
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: naprawiono błąd inicjalizacji pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4587: Apple
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.
Opis: w procedurach obsługi zmiennej lokalizacji występował błąd uprawnień. Ten błąd naprawiono przez dodanie kontroli własności.
CVE-2016-4591: ma.la z LINE Corporation
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4592: Mikhail
WebKit — wczytywanie stron
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego
kodu.
Opis: rozwiązano wiele błędów powodujących uszkodzenie zawartości pamięci
przez poprawienie procedury obsługi pamięci.
CVE-2016-4584: Chris Vienneau
WebKit — wczytywanie stron
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.
Opis: podczas przekierowywania adresów URL w przeglądarce Safari występował błąd mogący powodować ataki XSS (cross-site scripting). Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności adresów URL podczas przekierowywania.
CVE-2016-4585: Takeshi Terada z Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.