Сведения о проблемах системы безопасности, устраненных в ОС tvOS 10

В этом документе описаны проблемы системы безопасности, устраненные в ОС tvOS 10.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов Apple не раскрывает, не обсуждает и не подтверждает наличие проблем безопасности, пока не будет завершено расследование и не станут доступны исправления или новые выпуски. Недавние выпуски перечислены на странице Обновления системы безопасности Apple.

Дополнительные сведения о безопасности см. на странице Безопасность продуктов Apple. Можно шифровать обмен данными с Apple с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

tvOS 10

Дата выпуска: 13 сентября 2016 г.

Звук

Доступно для: Apple TV (4-го поколения)

Воздействие. Удаленный злоумышленник мог выполнять произвольный код.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-4702: Ёнчин Юн (YoungJin Yoon), Минщик Щин (MinSik Shin), ХоЧэ Хан (HoJae Han), Сун хён Пак (Sunghyun Park) и Тхэкён Квон (Taekyoung Kwon) из лаборатории информационной безопасности университета Ёнсе

Запись добавлена 20 сентября 2016 г.

CFNetwork

Доступно для: Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может подвергать риску конфиденциальность пользовательских данных

Описание. При разборе заголовка set-cookie возникала проблема с проверкой ввода. Проблема устранена путем улучшенной проверки.

CVE-2016-4708: Дэвид Чаган (Dawid Czagan) из Silesia Security Lab

Запись добавлена 20 сентября 2016 г.

CoreCrypto

Доступно для: Apple TV (4-го поколения)

Воздействие. Программа может выполнять произвольный код.

Описание. Проблема записи за границами отведенной области памяти решена посредством удаления уязвимого кода.

CVE-2016-4712: Герго Котелес (Gergo Koteles)

Запись добавлена 20 сентября 2016 г.

FontParser

Доступно для: Apple TV (4-го поколения)

Воздействие. Обработка вредоносного шрифта может привести к раскрытию памяти процесса.

Описание. При обработке файлов шрифтов возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2016-4718: Apple

Запись добавлена 20 сентября 2016 г.

IOAcceleratorFamily

Доступно для: Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию памяти процессов

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-4725: Роджер Комз (Rodger Combs) из Plex, Inc.

Запись добавлена 20 сентября 2016 г.

IOAcceleratorFamily

Доступно для: Apple TV (4-го поколения)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-4726: анонимный исследователь

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: Apple TV (4-го поколения)

Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.

Описание. Проблема с обработкой блокировки решена посредством улучшенной обработки блокировки.

CVE-2016-4772: Марк Хойзе (Marc Heuse) из mh-sec

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: Apple TV (4-го поколения)

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Существовало несколько проблем чтения за пределами буфера, которая могла приводить к раскрытию памяти ядра. Эти проблемы были устранены путем улучшенной проверки ввода.

CVE-2016-4773: Брэндон Азад (Brandon Azad)

CVE-2016-4774: Брэндон Азад (Brandon Azad)

CVE-2016-4776: Брэндон Азад (Brandon Azad)

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: Apple TV (4-го поколения)

Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-4775: Брэндон Азад (Brandon Azad)

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: Apple TV (4-го поколения)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема разыменования ненадежного указателя решена путем удаления проблемного кода.

CVE-2016-4777: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: Apple TV (4-го поколения)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4778: CESG

Запись добавлена 20 сентября 2016 г.

libxml2

Доступно для: Apple TV (4-го поколения)

Воздействие. В модуле libxml2 существовал ряд проблем, самые существенные из которых могут привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4658: Ник Веллнхофер (Nick Wellnhofer)

CVE-2016-5131: Ник Веллнхофер (Nick Wellnhofer)

Запись добавлена 20 сентября 2016 г.

Библиотека libxslt

Доступно для: Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-4738: Ник Веллнхофер (Nick Wellnhofer)

Запись добавлена 20 сентября 2016 г.

Безопасность

Доступно для: Apple TV (4-го поколения)

Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

Описание. В подписанных образах диска существовала проблема проверки. Проблема устранена путем улучшенной проверки размера.

CVE-2016-4753: Марк Ментоваи (Mark Mentovai) из Google Inc.

Запись добавлена 20 сентября 2016 г.

WebKit

Доступно для: Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. При обработке прототипов ошибок возникала проблема разбора. Проблема устранена путем улучшенной проверки.

CVE-2016-4728: Дэниел Дивричиан (Daniel Divricean)

Запись добавлена 20 сентября 2016 г.

WebKit

Доступно для: Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: Натали Сильванович (Natalie Silvanovich) из Google Project Zero

CVE-2016-4735: Андрэ Баргулл (André Bargull)

CVE-2016-4737: Apple

CVE-2016-4759: Тонгбо Луо (Tongbo Luo) из Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 20 сентября 2016 г.

WebKit

Доступно для: Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-4733: Натали Сильванович (Natalie Silvanovich) из Google Project Zero

CVE-2016-4765: Apple

Запись добавлена 20 сентября 2016 г.

WebKit

Доступно для: Apple TV (4-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-4764: Apple

Запись добавлена 3 ноября 2016 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: