Сведения о проблемах системы безопасности, устраненных в tvOS 10
В этом документе описаны проблемы системы безопасности, устраненные в tvOS 10.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
tvOS 10
Звук
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Удаленный злоумышленник может выполнять произвольный код.
Описание. Проблема повреждения памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2016-4702: Ёнчин Юн (YoungJin Yoon), Минщик Щин (MinSik Shin), ХоЧэ Хан (HoJae Han), Сун хён Пак (Sunghyun Park) и Тхэкён Квон (Taekyoung Kwon) из лаборатории информационной безопасности университета Ёнсе
CFNetwork
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может скомпрометировать информацию пользователя.
Описание. При разборе заголовка set-cookie возникала проблема проверки ввода. Проблема устранена путем улучшенной проверки надежности.
CVE-2016-4708: Давид Кзаган (Dawid Czagan) из Silesia Security Lab
CoreCrypto
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Приложение может выполнять произвольный код.
Описание. Проблема записи за границами отведенной области памяти устранена путем удаления уязвимых фрагментов кода.
CVE-2016-4712: Герго Котелес (Gergo Koteles)
FontParser
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. При обработке файлов шрифтов возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.
CVE-2016-4718: компания Apple
IOAcceleratorFamily
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2016-4725: Роджер Комз (Rodger Combs) из Plex, Inc.
IOAcceleratorFamily
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема повреждения памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2016-4726: анонимный исследователь
Ядро
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.
Описание. Проблема обработки блокировок устранена путем улучшенной обработки блокировок.
CVE-2016-4772: Марк Хеус (Marc Heuse) из mh-sec
Ядро
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Программа может выявлять схему распределения памяти в ядре.
Описание. Ряд проблем чтения за пределами выделенной области памяти приводил к раскрытию памяти ядра. Эти проблемы были устранены путем улучшенной проверки ввода.
CVE-2016-4773: Брэндон Азад (Brandon Azad)
CVE-2016-4774: Брэндон Азад (Brandon Azad)
CVE-2016-4776: Брэндон Азад (Brandon Azad)
Ядро
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.
Описание. Проблема повреждения памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2016-4775: Брэндон Азад (Brandon Azad)
Ядро
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема разыменования недоверенного указателя устранена путем удаления затрагиваемых фрагментов кода.
CVE-2016-4777: Люфен Ли (Lufeng Li) из группы Vulcan в Qihoo 360
Ядро
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки обращений к памяти.
CVE-2016-4778: CESG
libxml2
Целевые продукты: Apple TV (4-го поколения)
Воздействие. В libxml2 обнаружен ряд проблем, наиболее серьезные из которых могли привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки обращений к памяти.
CVE-2016-4658: Ник Веллнхофер (Nick Wellnhofer)
CVE-2016-5131: Ник Веллнхофер (Nick Wellnhofer)
Библиотека libxslt
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема повреждения памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2016-4738: Ник Веллнхофер (Nick Wellnhofer)
Безопасность
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. При использовании подписанных образов дисков возникала проблема проверки. Проблема устранена путем улучшенной проверки размера.
CVE-2016-4753: Марк Ментоваи (Mark Mentovai) из Google Inc.
WebKit
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. При обработке прототипов ошибок возникала проблема разбора. Проблема устранена путем улучшенной проверки.
CVE-2016-4728: Дэниел Дивричиан (Daniel Divricean)
WebKit
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки обращений к памяти.
CVE-2016-4611: Apple
CVE-2016-4730: Apple
CVE-2016-4734: пользователь natashenka из подразделения Google Project Zero
CVE-2016-4735: Андрэ Баргулл (André Bargull)
CVE-2016-4737: Apple
CVE-2016-4759: Тонгбо Луо (Tongbo Luo) из Palo Alto Networks
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.
CVE-2016-4733: пользователь natashenka из подразделения Google Project Zero
CVE-2016-4765: Apple
WebKit
Целевые продукты: Apple TV (4-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.
CVE-2016-4764: Apple
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.