Сведения о проблемах системы безопасности, устраненных в ОС tvOS 9.2.1

В этом документе описаны проблемы системы безопасности, устраненные в ОС tvOS 9.2.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительную информацию см. на веб-сайте безопасности продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

tvOS 9.2.1

  • CFNetwork Proxies

    Доступно для Apple TV (4-го поколения)

    Воздействие. Злоумышленник, обладающий привилегированным положением в сети, может вызвать утечку конфиденциальных данных пользователя.

    Описание. Существовала возможность утечки информации при обработке запросов HTTP и HTTPS. Проблема устранена путем улучшенной обработки URL-адресов.

    Идентификатор CVE

    CVE-2016-1801: Алекс Чапман (Alex Chapman) и Пол Стоун (Paul Stone) из Context Information Security

  • CommonCrypto

    Доступно для Apple TV (4-го поколения)

    Воздействие. Вредоносное приложение может вызвать утечку конфиденциальных данных пользователя.

    Описание. Имелась проблема при обработке возвращаемых значений в CCCrypt. Эта проблема устранена путем усовершенствования управления длиной ключа.

    Идентификатор CVE

    CVE-2016-1802: Клаус Родевиг (Klaus Rodewig)

  • CoreCapture

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

    Описание. Разыменование нулевого указателя устранено за счет улучшенной проверки.

    Идентификатор CVE

    CVE-2016-1803: Иэн Бир (Ian Beer) из Google Project Zero и пользователь daybreaker в рамках программы Zero Day Initiative компании Trend Micro

  • Disk Images

    Доступно для Apple TV (4-го поколения)

    Влияние. Приложение может считывать память ядра.

    Описание. Состояние гонки устранено за счет улучшенной блокировки.

    Идентификатор CVE

    CVE-2016-1807: Иэн Бир (Ian Beer) из Google Project Zero

  • Disk Images

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

    Описание. При анализе образов дисков существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1808: Муни Ли (Moony Li, @Flyic) и Джек Танг (Jack Tang, @jacktang310) из Trend Micro

  • ImageIO

    Доступно для Apple TV (4-го поколения)

    Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

    Описание. Разыменование нулевого указателя устранено за счет улучшенной проверки.

    Идентификатор CVE

    CVE-2016-1811: Ландер Брандт (Lander Brandt, @landaire)

  • IOAcceleratorFamily

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

    Описание. Проблема с повреждением памяти устранена за счет улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1817: Муни Ли (Moony Li, @Flyic) и Джек Танг (Jack Tang, @jacktang310) в рамках программы Zero Day Initiative компании Trend Micro

    CVE-2016-1818: Цзюйвэй Линь (Juwei Lin) из Trend Micro и пользователь sweetchip@GRAYHASH в рамках программы Zero Day Initiative компании Trend Micro

Запись обновлена 13 декабря 2016 г.

  • IOAcceleratorFamily

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может вызывать отказ в обслуживании.

    Описание. Разыменование нулевого указателя устранено за счет улучшенной блокировки.

    Идентификатор CVE

    CVE-2016-1814: Цзюйвэй Линь (Juwei Lin) из Trend Micro

  • IOAcceleratorFamily

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

    Описание. Уязвимость повреждения памяти устранена за счет улучшенной блокировки.

    Идентификатор CVE

    CVE-2016-1819: Иэн Бир (Ian Beer) из Google Project Zero

  • IOAcceleratorFamily

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

    Описание. Разыменование нулевого указателя устранено за счет улучшенной проверки.

    Идентификатор CVE

    CVE-2016-1813: Иэн Бир (Ian Beer) из Google Project Zero

  • IOHIDFamily

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

    Описание. Проблема с повреждением памяти устранена за счет улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1823: Иэн Бир (Ian Beer) из Google Project Zero

    CVE-2016-1824: Марко Грасси (Marco Grassi, @marcograss) из KeenLab (@keen_lab), Tencent

    CVE-2016-4650: Питер Пай (Peter Pi) из Trend Micro в рамках программы Zero Day Initiative компании HP

  • Kernel

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

    Описание. Ряд проблем с повреждением памяти устранен за счет ее улучшенной обработки.

    Идентификатор CVE

    CVE-2016-1827: Брэндон Азад (Brandon Azad)

    CVE-2016-1828: Брэндон Азад (Brandon Azad)

    CVE-2016-1829: CESG

    CVE-2016-1830: Брэндон Азад (Brandon Azad)

  • libc

    Доступно для Apple TV (4-го поколения)

    Воздействие. Приложение может вызывать неожиданное завершение работы приложения или выполнение произвольного кода.

    Описание. Проблема с повреждением памяти устранена за счет улучшенной проверки входных данных.

    Идентификатор CVE

    CVE-2016-1832: Карл Вильямсон (Karl Williamson)

  • libxml2

    Доступно для Apple TV (4-го поколения)

    Воздействие. При обработке вредоносного XML-файла возможно неожиданное завершение работы приложения или выполнение произвольного кода.

    Описание. Ряд проблем с повреждением памяти устранен за счет ее улучшенной обработки.

    Идентификатор CVE

    CVE-2016-1833: Матеуш Юрчик (Mateusz Jurczyk)

    CVE-2016-1834: Apple

    CVE-2016-1836: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета

    CVE-2016-1837: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета

    CVE-2016-1838: Матеуш Юрчик (Mateusz Jurczyk)

    CVE-2016-1839: Матеуш Юрчик (Mateusz Jurczyk)

    CVE-2016-1840: Костя Серебряный (Kostya Serebryany)

  • libxslt

    Доступно для Apple TV (4-го поколения)

    Воздействие. При обработке вредоносного веб-содержимого возможно выполнение произвольного кода.

    Описание. Проблема с повреждением памяти устранена за счет улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1841: Себастьян Апельт (Sebastian Apelt)

  • OpenGL

    CVE-2016-1847: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks

    Impact: Processing maliciously crafted web content may lead to arbitrary code execution

    Description: Multiple memory corruption issues were addressed through improved memory handling.

    CVE-ID

    CVE-2016-1847 : Tongbo Luo and Bo Qu of Palo Alto Networks

  • WebKit

    Доступно для Apple TV (4-го поколения)

    Воздействие. При обработке вредоносного веб-содержимого возможно раскрытие данных с другого веб-сайта.

    Описание. Проблема с недостаточно эффективным отслеживанием источников заражения при обработке SVG-изображений устранена за счет улучшенного отслеживания.

    Идентификатор CVE

    CVE-2016-1858: анонимный исследователь

  • WebKit

    Доступно для Apple TV (4-го поколения)

    Воздействие. При обработке вредоносного веб-содержимого возможно выполнение произвольного кода.

    Описание. Ряд проблем с повреждением памяти устранен за счет ее улучшенной обработки.

    Идентификатор CVE

    CVE-2016-1854: аноним в рамках программы Zero Day Initiative компании Trend Micro

    CVE-2016-1855: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks

    CVE-2016-1856: пользователь lokihardt в рамках программы Zero Day Initiative компании Trend Micro

    CVE-2016-1857: Чжонхун Шин (Jeonghoon Shin) из A.D.D, Лян Чэнь (Liang Chen), Чжэнь Фэн (Zhen Feng) и пользователь wushi из KeenLab, Tencent в рамках программы Zero Day Initiative компании Trend Micro

  • WebKit Canvas

    Доступно для Apple TV (4-го поколения)

    Воздействие. При обработке вредоносного веб-содержимого возможно выполнение произвольного кода.

    Описание. Ряд проблем с повреждением памяти устранен за счет ее улучшенной обработки.

    Идентификатор CVE

    CVE-2016-1859: Лян Чэнь (Liang Chen) и пользователь wushi из KeenLab, Tencent в рамках программы Zero Day Initiative компании Trend Micro

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: