Zawartość związana z zabezpieczeniami w systemie tvOS 9.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 9.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

tvOS 9.1

  • AppleMobileFileIntegrity

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: naprawiono błąd kontroli dostępu przez uniemożliwienie modyfikacji struktur kontroli dostępu.

    Identyfikator CVE

    CVE-2015-7055: Apple

  • Kompresja

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu

    Opis: w bibliotece zlib występował błąd dostępu do niezainicjowanej pamięci. Ten problem rozwiązano przez poprawienie mechanizmu inicjowania pamięci i zastosowanie dodatkowego sprawdzania poprawności strumieni zlib.

    Identyfikator CVE

    CVE-2015-7054: j00ru

  • CoreGraphics

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

    Identyfikator CVE

    CVE-2015-7105: John Villamil (@day6reak) z zespołu Yahoo Pentest Team

  • Odtwarzanie w aplikacji CoreMedia

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu

    Opis: w procedurze obsługi zniekształconych plików multimedialnych występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7074

    CVE-2015-7075: Apple

  • Obrazy dysków

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w procedurze analizowania obrazów dysków występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7110: Ian Beer z Google Project Zero

  • dyld

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w aplikacji dyld występowały błędy sprawdzania poprawności segmentów. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania środowiska.

    Identyfikator CVE

    CVE-2015-7072: Apple

    CVE-2015-7079: PanguTeam

  • ImageIO

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

    Opis: w klasie ImageIO występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7053: Apple

  • IOAcceleratorFamily

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w składniku IOAcceleratorFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7109: Juwei Lin z TrendMicro

  • IOHIDFamily

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w interfejsie API komponentu IOHIDFamily występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7111: użytkownicy beist i ABH z organizacji BoB

    CVE-2015-7112: Ian Beer z grupy Google Project Zero

  • IOKit SCSI

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: procedura obsługi niektórych typów klienta użytkownika zawierała dereferencję do wskaźnika null. Ten błąd naprawiono przez poprawienie procedury walidacji.

    Identyfikator CVE

    CVE-2015-7068: Ian Beer z grupy Google Project Zero

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja lokalna może spowodować atak typu „odmowa usługi”.

    Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.

    Identyfikator CVE

    CVE-2015-7040: Lufeng Li z grupy Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li z grupy Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li z grupy Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7083: Ian Beer z grupy Google Project Zero

    CVE-2015-7084: Ian Beer z grupy Google Project Zero

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w procedurze analizowania komunikatów mach występował błąd. Ten problem rozwiązano przez ulepszenie procedury sprawdzania poprawności komunikatów mach.

    Identyfikator CVE

    CVE-2015-7047: Ian Beer z grupy Google Project Zero

  • libarchive

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu

    Opis: w procedurze przetwarzania archiwów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2011-2895: @practicalswift

  • Biblioteka libc

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego pakietu może doprowadzić do wykonania dowolnego kodu.

    Opis: w bibliotece standardowej języka C występowało szereg błędów przepełnienia bufora. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-7038: Brian D. Wells z firmy E. W. Scripps, Narayan Subramanian z firmy Symantec Corporation/Veritas LLC

    CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)

    Pozycja uaktualniona 3 marca 2017 r.

  • libxml2

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.

    Opis: w procedurze analizowania plików XML występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7115: Wei Lei i Liu Yang z uczelni Nanyang Technological University

    CVE-2015-7116: Wei Lei i Liu Yang z uczelni Nanyang Technological University

  • MobileStorageMounter

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze wczytywania pamięci podręcznej zaufania występował błąd zarządzania czasem. Ten problem rozwiązano przez wprowadzenie sprawdzania poprawności środowiska systemu przed ładowaniem pamięci podręcznej zaufania.

    Identyfikator CVE

    CVE-2015-7051: PanguTeam

  • OpenGL

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu

    Opis: w bibliotece OpenGL występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

  • Zabezpieczenia

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: atakujący zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu

    Opis: w procedurze obsługi uzgadniania SSL występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7073: Benoit Foucher z firmy ZeroC, Inc.

  • Zabezpieczenia

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu.

    Opis: w dekoderze ASN.1 występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych

    Identyfikator CVE

    CVE-2015-7059: David Keeler z firmy Mozilla

    CVE-2015-7060: Tyson Smith z firmy Mozilla

    CVE-2015-7061: Ryan Sleevi z firmy Google

  • Zabezpieczenia

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: złośliwa aplikacja może uzyskać dostęp do elementów pęku kluczy użytkownika.

    Opis: w mechanizmie sprawdzania poprawności list kontroli dostępu dla elementów pęku kluczy występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania poprawności list kontroli dostępu.

    Identyfikator CVE

    CVE-2015-7058

  • WebKit

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu

    Opis: w oprogramowaniu WebKit występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

    CVE-2015-7104: Apple

  • WebKit

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu

    Opis: w bibliotece OpenGL występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7066: Tongbo Luo i Bo Qu z firmy Palo Alto Networks

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: