В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
tvOS 9.2.1
Прокси-серверы CFNetwork
Доступно для: Apple TV (4-го поколения)
Воздействие. Злоумышленник с преимущественным положением в сети может вызвать утечку конфиденциальной информации пользователя.
Описание. При обработке запросов HTTP и HTTPS возникала утечка информации. Проблема устранена путем усовершенствования обработки URL-адресов.
Идентификатор CVE
CVE-2016-1801: Алекс Чепмен (Alex Chapman) и Пол Стоун (Paul Stone) из Context Information Security
CommonCrypto
Доступно для: Apple TV (4-го поколения)
Воздействие. Вредоносная программа может вызвать утечку конфиденциальной информации пользователя.
Описание. Возникала проблема при обработке возвращаемых значений в CCCrypt. Эта проблема устранена путем усовершенствования управления длиной ключа.
Идентификатор CVE
CVE-2016-1802: Клаус Родевиг (Klaus Rodewig)
CoreCapture
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема разыменования нулевого указателя решена посредством улучшения процедуры проверки.
Идентификатор CVE
CVE-2016-1803: Иэн Бир (Ian Beer) из подразделения Google Project Zero, пользователь daybreaker, сотрудничающий с компанией Trend Micro по программе Zero Day Initiative
Образы дисков
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа могла прочитать данные из памяти ядра.
Описание. Состояние гонки устранено путем улучшенной блокировки.
Идентификатор CVE
CVE-2016-1807: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Образы дисков
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. При разборе образов диска существовала проблема повреждения данных в памяти. Проблема устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1808: Муни Ли (Moony Li, @Flyic) и Джек Тэнг (Jack Tang, @jacktang310) из Trend Micro
ImageIO
Доступно для: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного изображения может привести к отказу в обслуживании
Описание. Проблема разыменования нулевого указателя решена посредством улучшения процедуры проверки.
Идентификатор CVE
CVE-2016-1811: Ландер Брандт (Lander Brandt, @landaire)
IOAcceleratorFamily
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1817: Муни Ли (Moony Li, @Flyic) и Джек Тэнг (Jack Tang, @jacktang310) из Trend Micro, работающие над программой Zero Day Initiative
CVE-2016-1818: Цзювэй Линь (Juwei Lin) из TrendMicro, sweetchip@GRAYHASH, сотрудничающие с Trend Micro по программе Zero Day Initiative
Запись обновлена 13 декабря 2016 г.
IOAcceleratorFamily
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа может вызвать отказ в обслуживании.
Описание. Проблема разыменования нулевого указателя решена посредством улучшения процедуры блокировки.
Идентификатор CVE
CVE-2016-1814: Цзюйвэй Линь (Juwei Lin) из TrendMicro
IOAcceleratorFamily
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Уязвимость, связанная с повреждением памяти, устранена посредством улучшения блокировки.
Идентификатор CVE
CVE-2016-1819: Иэн Бир (Ian Beer) из подразделения Google Project Zero
IOAcceleratorFamily
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема разыменования нулевого указателя решена посредством улучшения процедуры проверки.
Идентификатор CVE
CVE-2016-1813: Иэн Бир (Ian Beer) из подразделения Google Project Zero
IOHIDFamily
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1823: Иэн Бир (Ian Beer) из подразделения Google Project Zero
CVE-2016-1824: Марко Грасси (Marco Grassi) (@marcograss) из KeenLab (@keen_lab), Tencent
CVE-2016-4650: Питер Пай (Peter Pi) из Trend Micro в рамках программы Zero Day Initiative компании HP
Ядро
Доступно для: Apple TV (4-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1827: Брэндон Азад (Brandon Azad)
CVE-2016-1828: Брэндон Азад (Brandon Azad)
CVE-2016-1829: CESG
CVE-2016-1830: Брэндон Азад (Brandon Azad)
libc
Доступно для: Apple TV (4-го поколения)
Воздействие. Приложение может вызвать неожиданное завершение работы программы или выполнить произвольный код.
Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.
Идентификатор CVE
CVE-2016-1832: Карл Уильямсон (Karl Williamson)
libxml2
Доступно для: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного кода XML могла приводить к неожиданному завершению программы или выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1833: Матеуш Юрчик (Mateusz Jurczyk)
CVE-2016-1834: компания Apple
CVE-2016-1836: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета
CVE-2016-1837: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета
CVE-2016-1838: Матеуш Юрчик (Mateusz Jurczyk)
CVE-2016-1839: Матеуш Юрчик (Mateusz Jurczyk)
CVE-2016-1840: Костя Серебряный (Kostya Serebryany)
Библиотека libxslt
Доступно для: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода
Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1841: Себастиан Апельт (Sebastian Apelt)
OpenGL
Доступно для: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1847: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks
WebKit
Доступно для: Apple TV (4-го поколения)
Воздействие. При обработке вредоносного веб-содержимого могут раскрываться данные с другого веб-сайта
Описание. Проблема неэффективного отслеживания заражений при анализе изображений SVG устранена путем улучшения механизма отслеживания заражений.
Идентификатор CVE
CVE-2016-1858: анонимный исследователь
WebKit
Доступно для: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1854: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative
CVE-2016-1855: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks
CVE-2016-1856: пользователь lokihardt, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative
CVE-2016-1857: Чонхун Шин (Jeonghoon Shin) @A.D.D, Лян Чэнь (Liang Chen), Чжень Фен (Zhen Feng), wushi из KeenLab, Tencent, сотрудничающие с Trend Micro по программе Zero Day Initiative
WebKit Canvas
Доступно для: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2016-1859: Лян Чэнь (Liang Chen), wushi из KeenLab, Tencent, сотрудничающие с Trend Micro по программе Zero Day Initiative