Сведения о проблемах системы безопасности, устраненных в ОС tvOS 9.1

В этом документе описаны проблемы системы безопасности, устраненные в ОС tvOS 9.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

ОС tvOS 9.1

  • AppleMobileFileIntegrity

    Доступно для Apple TV (4-го поколения)

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. Проблема с управлением доступом устранена путем предотвращения модификации структур управления доступом.

    Идентификатор CVE

    CVE-2015-7055: Apple

  • Сжатие

    Доступно для Apple TV (4-го поколения)

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. В zlib возникала проблема неинициализированного доступа к памяти. Проблема устранена путем улучшенной инициализации памяти и дополнительной проверки потоков zlib.

    Идентификатор CVE

    CVE-2015-7054: j00ru

  • CoreGraphics

    Доступно для Apple TV (4-го поколения)

    Воздействие. Обработка вредоносного файла шрифта может привести к выполнению произвольного кода.

    Описание. При обработке файлов шрифтов существовала проблема повреждения памяти. Проблема устранена путем улучшенной проверки ввода.

    Идентификатор CVE

    CVE-2015-7105: Джон Вилламил (John Villamil [@day6reak]), подразделение Yahoo Pentest

  • Воспроизведение CoreMedia

    Доступно для Apple TV (4-го поколения)

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. При обработке вредоносных медиафайлов возникал ряд проблем повреждения памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7074

    CVE-2015-7075: компания Apple

  • Образы дисков

    Доступно для Apple TV (4-го поколения)

    Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.

    Описание. При разборе образов диска существовала проблема повреждения данных в памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7110: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • dyld

    Доступно для Apple TV (4-го поколения)

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. В dyld выявлено несколько проблем проверки сегментов. Они решены посредством улучшенной очистки среды.

    Идентификатор CVE

    CVE-2015-7072: компания Apple

    CVE-2015-7079: PanguTeam

  • ImageIO

    Доступно для Apple TV (4-го поколения)

    Воздействие. Обработка вредоносного изображения могла приводить к выполнению произвольного кода.

    Описание. Ошибка в ImageIO приводила к повреждению содержимого памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7053: компания Apple

  • IOAcceleratorFamily

    Доступно для Apple TV (4-го поколения)

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. В IOAcceleratorFamily существовало повреждение памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7109: Цзюйвэй Линь (Juwei Lin) из TrendMicro

  • IOHIDFamily

    Доступно для Apple TV (4-го поколения)

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. В API-интерфейсе IOHIDFamily существовал ряд ошибок, приводящих к повреждению содержимого памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7111: beist и ABH из BoB

    CVE-2015-7112: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOKit SCSI

    Доступно для Apple TV (4-го поколения)

    Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

    Описание. При обработке определенного типа клиентов-пользователей возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки.

    Идентификатор CVE

    CVE-2015-7068: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Ядро

    Доступно для Apple TV (4-го поколения)

    Воздействие. Локальная программа может вызвать отказ в обслуживании.

    Описание. Ряд проблем отказа в обслуживании устранен путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7040: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.

    CVE-2015-7041: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.

    CVE-2015-7042: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.

    CVE-2015-7043: Тарджей Мандт (Tarjei Mandt) (@kernelpool)

  • Ядро

    Доступно для Apple TV (4-го поколения)

    Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.

    Описание. В ядре возникал ряд проблем, связанных с повреждением памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7083: Иэн Бир (Ian Beer) из подразделения Google Project Zero

    CVE-2015-7084: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Ядро

    Доступно для Apple TV (4-го поколения)

    Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.

    Описание. Возникала проблема при разборе сообщений mach. Эта проблема решена путем улучшенной проверки сообщений mach.

    Идентификатор CVE

    CVE-2015-7047: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • libarchive

    Доступно для Apple TV (4-го поколения)

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. При обработке архивов возникала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2011-2895: @practicalswift

  • libc

    Доступно для Apple TV (4-го поколения)

    Воздействие. Обработка вредоносного пакета могла приводить к выполнению произвольного кода.

    Описание. В стандартной библиотеке C возникал ряд проблем переполнения буфера. Проблемы были устранены путем улучшенной проверки границ.

    Идентификатор CVE

    CVE-2015-7038: Брайан Уэллс (Brian D. Wells) из E. W. Scripps, Нараян Субраманиан (Narayan Subramanian) из Symantec Corporation/Veritas LLC

    CVE-2015-7039: Максимилиан Арцемовиц (Maksymilian Arciemowicz) из CXSECURITY.COM

    Запись обновлена 3 марта 2017 г.

  • libxml2

    Доступно для Apple TV (4-го поколения)

    Воздействие. Анализ вредоносного документа XML может привести к разглашению информации пользователя.

    Описание. При обработке файлов XML существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7115: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета

    CVE-2015-7116: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета

  • MobileStorageMounter

    Доступно для Apple TV (4-го поколения)

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При загрузке доверенного кэша возникала проблема с хронометражем. Эта проблема решена путем проверки системной среды перед загрузкой доверенного кэша.

    Идентификатор CVE

    CVE-2015-7051: PanguTeam

  • OpenGL

    Доступно для Apple TV (4-го поколения)

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. В OpenGL возникал ряд проблем, приводящих к повреждению памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7064: компания Apple

    CVE-2015-7065: Apple

  • Безопасность

    Доступно для Apple TV (4-го поколения)

    Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы программы.

    Описание. При квитировании SSL возникало повреждение памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7073: Бенуа Фушер (Benoit Foucher) из ZeroC, Inc.

  • Безопасность

    Доступно для Apple TV (4-го поколения)

    Воздействие. Обработка вредоносного сертификата могла привести к выполнению произвольного кода.

    Описание. В декодере ASN.1 возникал ряд проблем, связанных с повреждением памяти. Эти проблемы были устранены путем улучшенной проверки ввода.

    Идентификатор CVE

    CVE-2015-7059: Дэвид Килер (David Keeler) из Mozilla

    CVE-2015-7060: Тайсон Смит (Tyson Smith) из Mozilla

    CVE-2015-7061: Райан Сливи (Ryan Sleevi) из Google

  • Безопасность

    Доступно для Apple TV (4-го поколения)

    Воздействие. Вредоносная программа может получить доступ к объектам пользовательской связки ключей.

    Описание. Процедура проверки списков управления доступом для объектов связки ключей содержала ошибку. Проблема устранена путем улучшенной проверки списков управления доступом.

    Идентификатор CVE

    CVE-2015-7058

  • WebKit

    Доступно для Apple TV (4-го поколения)

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

    CVE-2015-7104: Apple

  • WebKit

    Доступно для Apple TV (4-го поколения)

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. В OpenGL возникал ряд проблем, приводящих к повреждению памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7066: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: