Zawartość związana z zabezpieczeniami w systemie tvOS 9.2.2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 9.2.2.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

tvOS 9.2.2

Wydano 18 lipca 2016 r.

Poświadczenia środowiska CFNetwork

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.

Opis: w poświadczeniach uwierzytelniania zachowanych w pęku kluczy występował błąd degradacji. Ten błąd naprawiono przez przechowywanie typów uwierzytelniania z poświadczeniami.

CVE-2016-4644: Jerry Decime koordynowany przez CERT

Serwery proxy środowiska CFNetwork

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.

Opis: w procedurze analizowania odpowiedzi 407 występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury weryfikacji odpowiedzi.

CVE-2016-4643: Xiaofeng Zheng z Blue Lotus Team, Tsinghua University; Jerry Decime koordynowany przez CERT

Serwery proxy środowiska CFNetwork

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: aplikacja może nieświadomie wysyłać hasło w postaci niezaszyfrowanej przez sieć.

Opis: uwierzytelnianie serwera proxy niepoprawnie zgłaszało, że serwery proxy HTTP odebrały poświadczenia w sposób bezpieczny. Ten błąd naprawiono przez poprawienie ostrzegania.

CVE-2016-4642: Jerry Decime koordynowany przez CERT

CoreGraphics

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4637: Tyler Bohan z Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4632: Evgeny Sidorov z Yandex

ImageIO

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4631: Tyler Bohan z Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7705: Craig Young z Tripwire VERT

Wpis dodano 30 listopada 2017 r.

IOAcceleratorFamily

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.

CVE-2016-4627: Ju Zhu z Trend Micro

IOHIDFamily

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2016-4626: Stefan Esser z SektionEins

Jądro

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-1863: Ian Beer z zespołu Project Zero firmy Google

CVE-2016-4653: Ju Zhu z Trend Micro

CVE-2016-4582: Shrek_wzw i Proteas z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) z KeenLab(@keen_lab), Tencent

libxml2

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: w procedurze analizowania złośliwie spreparowanych plików XML występował błąd dostępu. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2016-4449: Kostya Serebryany

libxml2

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxml2.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2015-8317 : Hanno Boeck

CVE-2016-1836: Wei Lei i Liu Yang z Nanyang Technological University

CVE-2016-4447: Wei Lei i Liu Yang z Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Wpis uaktualniono 5 czerwca 2017 r.

libxslt

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxslt.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Wpis uaktualniono 11 kwietnia 2017 r.

Profile piaskownicy

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: aplikacja lokalna może uzyskać dostęp do listy procesów.

Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.

CVE-2016-4594: Stefan Esser z SektionEins

WebKit

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4586: Apple

CVE-2016-4588: Apple

CVE-2016-4589: Tongbo Luo i Bo Qu z Palo Alto Networks

CVE-2016-4622: Samuel Gross w ramach programu Zero Day Initiative firmy Trend Micro.

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować ujawnienie danych obrazów z innej witryny.

Opis: w procedurze przetwarzania obrazów SVG występował błąd zarządzania czasem. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

CVE-2016-4583: Roeland Krak

WebKit

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: naprawiono błąd inicjalizacji pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4587: Apple

WebKit

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.

Opis: w procedurach obsługi zmiennej lokalizacji występował błąd uprawnień. Ten błąd naprawiono przez dodanie kontroli własności.

CVE-2016-4591: ma.la z LINE Corporation

WebKit

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4592: Mikhail

WebKit — wczytywanie stron

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego

kodu.

Opis: rozwiązano wiele błędów powodujących uszkodzenie zawartości pamięci

przez poprawienie procedury obsługi pamięci.

CVE-2016-4584: Chris Vienneau

WebKit — wczytywanie stron

Dostępne dla: urządzenia Apple TV (4. generacji)

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: podczas przekierowywania adresów URL w przeglądarce Safari występował błąd mogący powodować ataki XSS (cross-site scripting). Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności adresów URL podczas przekierowywania.

CVE-2016-4585: Takeshi Terada z Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: