Zawartość związana z zabezpieczeniami w systemie tvOS 9.2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 9.2.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

tvOS 9.2

  • FontParser

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: problem powodujący uszkodzenie zawartości pamięci został rozwiązany przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1740: HappilyCoded (ant4g0nist i r3dsm0k3) w ramach inicjatywy Zero Day Initiative (ZDI) firmy Trend Micro

  • Protokół HTTP

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: zdalny atakujący może być w stanie wykonać dowolny kod.

    Opis: w bibliotece nghttp2 w wersjach starszych niż 1.6.0 występowały liczne luki w zabezpieczeniach, z których najpoważniejsza mogła spowodować wykonanie zdalnego kodu. Te problemy rozwiązano przez uaktualnienie biblioteki nghttp2 do wersji 1.6.0.

    Identyfikator CVE

    CVE-2015-8659

  • IOHIDFamily

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra

    Opis: problem powodujący uszkodzenie zawartości pamięci został rozwiązany przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1748: Brandon Azad

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: możliwość użycia po rozwiązaniu problemu przez poprawienie procedury zarządzania pamięcią.

    Identyfikator CVE

    CVE-2016-1750: CESG

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: liczne błędy powodujące przepełnienie całkowitoliczbowe rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2016-1753: Juwei Lin z Trend Micro w ramach inicjatywy Zero Day Initiative (ZDI) firmy Trend Micro

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie obejść podpisywanie kodu.

    Opis: występował trwały błąd powodujący nieprawidłowe przydzielenie uprawnień do wykonywania. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności uprawnień.

    Identyfikator CVE

    CVE-2016-1751: Eric Monti ze Square Mobile Security

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do uszkodzenia zawartości pamięci.

    Identyfikator CVE

    CVE-2016-1754: Lufeng Li z Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer z Google Project Zero

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

    Opis: problem z podatnością na atak DoS został rozwiązany przez poprawienie sprawdzania poprawności.

    Identyfikator CVE

    CVE-2016-1752: CESG

  • libxml2

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do uszkodzenia zawartości pamięci.

    Identyfikator CVE

    CVE-2015-1819

    CVE-2015-5312: David Drysdale z Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany z Google

    CVE-2015-7942: Kostya Serebryany z Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1762

  • Zabezpieczenia

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu

    Opis: w dekoderze ASN.1 występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2016-1950: Francis Gabriel z Quarkslab

  • TrueTypeScaler

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2016-1775: 0x1byte w ramach inicjatywy Zero Day Initiative (ZDI) firmy Trend Micro

  • WebKit

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.

    Opis: problem powodujący uszkodzenie zawartości pamięci został rozwiązany przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1783: Mihai Parparita z Google

  • WebKit — historia

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

    Opis: błąd wyczerpania zasobów został rozwiązany przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2016-1784: Moony Li i Jack Tang z TrendMicro i 李普君 of 无声信息技术PKAV Team (PKAV.net)

  • Wi-Fi

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.

    Opis: w przypadku określonego pola ethertype występował błąd dotyczący sprawdzania poprawności ramek i powodujący uszkodzenie zawartości pamięci. Ten problem został rozwiązany przez dodatkowe sprawdzanie poprawności pola ethertype i poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2016-0801: anonimowy badacz

    CVE-2016-0802: anonimowy badacz

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: