Zawartość związana z zabezpieczeniami w systemie tvOS 9.2.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 9.2.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
tvOS 9.2.1
CFNetwork Proxies
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może doprowadzić do wycieku poufnych informacji użytkownika.
Opis: w procedurze obsługi żądań HTTP i HTTPS występował wyciek informacji. Ten błąd naprawiono przez poprawienie procedury obsługi adresów URL.
Identyfikator CVE
CVE-2016-1801: Alex Chapman i Paul Stone z Context Information Security
CommonCrypto
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: złośliwa aplikacja może doprowadzić do wycieku poufnych informacji użytkownika.
Opis: procedury obsługi wartości zwracanych w bibliotece CCCrypt zawierały błąd. Ten błąd naprawiono przez poprawienie procedur zarządzania długością klucza.
Identyfikator CVE
CVE-2016-1802: Klaus Rodewig
CoreCapture
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.
Identyfikator CVE
CVE-2016-1803: Ian Beer z Google Project Zero, daybreaker w ramach programu Zero Day Initiative firmy Trend Micro
Disk Images
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja mogła być w stanie odczytać pamięć jądra.
Opis: rozwiązano sytuację wyścigu przez ulepszenie mechanizmu blokowania.
Identyfikator CVE
CVE-2016-1807: Ian Beer z Google Project Zero
Disk Images
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w procedurze analizowania obrazów dysków występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2016-1808: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro
ImageIO
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.
Identyfikator CVE
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1817: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2016-1818: Juwei Lin z Trend Micro, sweetchip@GRAYHASH w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 13 grudnia 2016 r.
IOAcceleratorFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie mechanizmu blokowania.
Identyfikator CVE
CVE-2016-1814: Juwei Lin z Trend Micro
IOAcceleratorFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
Identyfikator CVE
CVE-2016-1819: Ian Beer z Google Project Zero
IOAcceleratorFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.
Identyfikator CVE
CVE-2016-1813: Ian Beer z Google Project Zero
IOHIDFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1823: Ian Beer z Google Project Zero
CVE-2016-1824: Marco Grassi (@marcograss) z KeenLab (@keen_lab), Tencent
CVE-2016-4650: Peter Pi z Trend Micro w ramach programu Zero Day Initiative firmy HP
Kernel
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
libc
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja mogła spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2016-1832: Karl Williamson
libxml2
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1836: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-1837: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1841: Sebastian Apelt
OpenGL
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1847: Tongbo Luo i Bo Qu z Palo Alto Networks
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować ujawnienie danych z innej witryny.
Opis: naprawiono błąd z niewystarczającym śledzeniem wad podczas przetwarzania obrazów SVG przez ulepszenie mechanizmu śledzenia wad.
Identyfikator CVE
CVE-2016-1858: anonimowy badacz
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1854: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2016-1855: Tongbo Luo i Bo Qu z Palo Alto Networks
CVE-2016-1856: użytkownik lokihardt w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2016-1857: Jeonghoon Shin@A.D.D, Liang Chen, Zhen Feng, użytkownik wushi z firmy KeenLab, Tencent w ramach programu Zero Day Initiative firmy Trend Micro
WebKit Canvas
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1859: Liang Chen, wushi z KeenLab, Tencent w ramach programu Zero Day Initiative firmy Trend Micro
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.