Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
tvOS 10
Wydano 13 września 2016 r.
Dźwięk
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park i Taekyoung Kwon z wydziału Information Security Lab uczelni Yonsei University
Wpis dodano 20 września 2016 r.
CFNetwork
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do naruszenia bezpieczeństwa informacji użytkownika.
Opis: w procedurze analizowania składni nagłówka set-cookie występował błąd sprawdzania poprawności danych wejściowych. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania poprawności.
CVE-2016-4708: Dawid Czagan z Silesia Security Lab
Wpis dodano 20 września 2016 r.
CoreCrypto
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod.
Opis: naprawiono błąd zapisu poza dozwolonym zakresem przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2016-4712: Gergo Koteles
Wpis dodano 20 września 2016 r.
FontParser
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: w procedurze obsługi plików czcionek występowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2016-4718: Apple
Wpis dodano 20 września 2016 r.
IOAcceleratorFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-4725: Rodger Combs z firmy Plex, Inc.
Wpis dodano 20 września 2016 r.
IOAcceleratorFamily
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4726: anonimowy badacz
Wpis dodano 20 września 2016 r.
Jądro
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd obsługi blokady przez poprawienie mechanizmu obsługi blokady.
CVE-2016-4772: Marc Heuse z mh-sec
Wpis dodano 20 września 2016 r.
Jądro
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: występowało kilka błędów odczytu spoza zakresu, które mogły doprowadzić do ujawnienia rozkładu pamięci jądra. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Wpis dodano 20 września 2016 r.
Jądro
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4775: Brandon Azad
Wpis dodano 20 września 2016 r.
Jądro
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji niezaufanego wskaźnika przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2016-4777: Lufeng Li z Qihoo 360 Vulcan Team
Wpis dodano 20 września 2016 r.
Jądro
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4778: CESG
Wpis dodano 20 września 2016 r.
libxml2
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: w bibliotece libxml2 występowało wiele błędów, z których najpoważniejsze mogą spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
Wpis dodano 20 września 2016 r.
libxslt
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4738: Nick Wellnhofer
Wpis dodano 20 września 2016 r.
Zabezpieczenia
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w podpisanych obrazach dysków występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności rozmiaru.
CVE-2016-4753: Mark Mentovai z Google Inc.
Wpis dodano 20 września 2016 r.
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi prototypów błędów występował błąd analizowania składni. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.
CVE-2016-4728: Daniel Divricean
Wpis dodano 20 września 2016 r.
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4611: Apple
CVE-2016-4730: Apple
CVE-2016-4734: natashenka z Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo z Palo Alto Networks
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 20 września 2016 r.
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2016-4733: natashenka z Google Project Zero
CVE-2016-4765: Apple
Wpis dodano 20 września 2016 r.
WebKit
Dostępne dla: urządzenia Apple TV (4. generacji)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2016-4764: Apple
Wpis dodano 3 listopada 2016 r.