Om säkerhetsinnehållet i tvOS 9.2

Det här dokumentet beskriver säkerhetsinnehållet i tvOS 9.2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

tvOS 9.2

• FontParser

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till oväntad programavslutning eller godtycklig kodkörning

  Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2016-1740 : HappilyCoded (ant4g0nist och r3dsm0k3) i samarbete med Trend Micros Zero Day Initiative (ZDI)

• HTTPProtocol

  Tillgänglig för: Apple TV (4:e generationen)

  Problem: En angripare kan lyckas köra godtycklig kod

  Beskrivning: Flera sårbarheter förekom i nghttp2-versioner innan 1.6.0, av vilka den allvarligaste kan leda till fjärrkörning av kod. Dessa åtgärdades genom att nghttp2 uppdaterades till 1.6.0.

  CVE-ID

  CVE-2015-8659

• IOHIDFamily

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Ett program kan ta reda på layouten för kärnminnet

  Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2016-1748: Brandon Azad

• Kärna

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

  Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2016-1750: CESG

• Kärna

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

  Beskrivning: Flera heltalsspill åtgärdades genom förbättrad indatavalidering.

  CVE-ID

  CVE-2016-1753 : Juwei Lin, Trend Micro, i samarbete med Trend Micros Zero Day Initiative (ZDI)

• Kärna

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Ett program kan kringgå kodsignering

  Beskrivning: Det förekom ett behörighetsproblem som ledde till att körningsbehörighet felaktigt beviljades. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

  CVE-ID

  CVE-2016-1751: Eric Monti på Square Mobile Security

• Kärna

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

  Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2016-1754: Lufeng Li på Qihoo 360 Vulcan Team

  CVE-2016-1755: Ian Beer på Google Project Zero

• Kärna

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Ett program kan orsaka att tjänster nekas

  Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad validering.

  CVE-ID

  CVE-2016-1752: CESG

• libxml2

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Bearbetning av uppsåtligt skapad XML kan leda till oväntad programavslutning eller godtycklig kodkörning

  Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2015-1819

  CVE-2015-5312: David Drysdale på Google

  CVE-2015-7499

  CVE-2015-7500: Kostya Serebryany på Google

  CVE-2015-7942: Kostya Serebryany på Google

  CVE-2015-8035: gustavo.grieco

  CVE-2015-8242: Hugh Davenport

  CVE-2016-1762

• Säkerhet

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Bearbetning av ett felaktigt utformat certifikat kan ge upphov till körning av godtycklig kod

  Beskrivning: Ett minnesfel förekom i ASN.1-avkodaren. Problemet har åtgärdats genom förbättrad indatavalidering.

  CVE-ID

  CVE-2016-1950 : Francis Gabriel på Quarkslab

• TrueTypeScaler

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan leda till godtycklig kodkörning.

  Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

  CVE-ID

  CVE-2016-1775: 0x1byte i samarbete med Trend Micros Zero Day Initiative (ZDI)

• WebKit

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Att öppna skadligt webbinnehåll kan leda till godtycklig kodkörning

  Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2016-1783: Mihai Parparita på Google

• WebKit-historik

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari oväntat kraschar

  Beskrivning: Ett problem med resursbegränsning åtgärdades genom förbättrad indataverifiering.

  CVE-ID

  CVE-2016-1784: Moony Li och Jack Tang på TrendMicro och 李普君 på 无声信息技术PKAV Team (PKAV.net)

• Wi-Fi

  Tillgänglig för: Apple TV (4:e generationen)

  Effekt: En angripare med en privilegierad nätverksposition kan orsaka godtycklig kodkörning

  Beskrivning: Ett ramvaliderings- och minnesproblem förekom för en given ethertype. Problemet åtgärdades genom ytterligare ethertype-validering och förbättrad minneshantering.

  CVE-ID

  CVE-2016-0801: En anonym forskare

  CVE-2016-0802: En anonym forskare