Zawartość związana z zabezpieczeniami w systemie tvOS 9.2.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 9.2.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

tvOS 9.2.1

  • Serwery proxy środowiska CFNetwork

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może ujawnić poufne informacje użytkownika.

    Opis: w procedurze obsługi żądań HTTP i HTTPS występował wyciek informacji. Ten błąd naprawiono przez poprawienie procedury obsługi adresów URL.

    Identyfikator CVE

    CVE-2016-1801: Alex Chapman i Paul Stone z Context Information Security

  • CommonCrypto

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.

    Opis: procedury obsługi wartości zwracanych w bibliotece CCCrypt zawierały błąd. Ten błąd naprawiono przez poprawienie procedur zarządzania długością klucza.

    Identyfikator CVE

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.

    Identyfikator CVE

    CVE-2016-1803: Ian Beer z Google Project Zero, użytkownik daybreaker w ramach programu Zero Day Initiative firmy Trend Micro

  • Obrazy dysków

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja mogła być w stanie odczytać pamięć jądra.

    Opis: rozwiązano sytuację wyścigu przez ulepszenie mechanizmu blokowania.

    Identyfikator CVE

    CVE-2016-1807: Ian Beer z Google Project Zero

  • Obrazy dysków

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w procedurze analizowania obrazów dysków występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1808: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro

  • ImageIO

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego obrazu mogło doprowadzić do ataku typu „odmowa usługi”.

    Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.

    Identyfikator CVE

    CVE-2016-1811: Lander Brandt (@landaire)

  • IOAcceleratorFamily

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1817: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro

    CVE-2016-1818: Juwei Lin z TrendMicro, sweetchip@GRAYHASH w ramach programu Zero Day Initiative firmy Trend Micro

    Wpis uaktualniono 13 grudnia 2016 r.

  • IOAcceleratorFamily

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

    Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie mechanizmu blokowania.

    Identyfikator CVE

    CVE-2016-1814: Juwei Lin z TrendMicro

  • IOAcceleratorFamily

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

    Identyfikator CVE

    CVE-2016-1819: Ian Beer z Google Project Zero

  • IOAcceleratorFamily

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.

    Identyfikator CVE

    CVE-2016-1813: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1823: Ian Beer z zespołu Project Zero firmy Google

    CVE-2016-1824: Marco Grassi (@marcograss) z KeenLab (@keen_lab), Tencent

    CVE-2016-4650: Peter Pi z Trend Micro w ramach programu Zero Day Initiative firmy HP

  • Jądro

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

  • Biblioteka libc

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: aplikacja mogła spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

    Identyfikator CVE

    CVE-2016-1832: Karl Williamson

  • libxml2

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1836: Wei Lei i Liu Yang z uczelni Nanyang Technological University

    CVE-2016-1837: Wei Lei i Liu Yang z Nanyang Technological University

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.

    Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1841: Sebastian Apelt

  • OpenGL

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.

    Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1847: Tongbo Luo i Bo Qu z Palo Alto Networks

  • WebKit

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować ujawnienie danych z innej witryny.

    Opis: naprawiono błąd z niewystarczającym śledzeniem wad podczas przetwarzania obrazów SVG przez ulepszenie mechanizmu śledzenia wad.

    Identyfikator CVE

    CVE-2016-1858: anonimowy badacz

  • WebKit

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.

    Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1854: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

    CVE-2016-1855: Tongbo Luo i Bo Qu z firmy Palo Alto Networks

    CVE-2016-1856: użytkownik lokihardt w ramach programu Zero Day Initiative firmy Trend Micro

    CVE-2016-1857: Jeonghoon Shin@A.D.D, Liang Chen, Zhen Feng, użytkownik wushi z firmy KeenLab, Tencent w ramach programu Zero Day Initiative firmy Trend Micro

  • WebKit — element canvas

    Dostępne dla: urządzenia Apple TV (4. generacji)

    Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.

    Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1859: Liang Chen, użytkownik wushi z firmy KeenLab, Tencent w ramach programu Zero Day Initiative firmy Trend Micro

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: