Om säkerhetsinnehållet i tvOS 9.2.2

Det här dokumentet beskriver säkerhetsinnehållet i tvOS 9.2.2.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

tvOS 9.2.2

CFNetwork-inloggning

Tillgänglig för: Apple TV (4:e generationen)

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Ett problem med nedgradering förekom i HTTP-autentiseringsuppgifter som sparats i Nyckelring. Problemet åtgärdades genom att autentiseringstyperna lagrades tillsammans med inloggningsuppgifterna.

CVE-2016-4644: Jerry Decime koordinerad via CERT

CFNetwork Proxies

Tillgänglig för: Apple TV (4:e generationen)

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Det fanns ett valideringsproblem i tolkningen av 407-svar. Problemet åtgärdades genom förbättrad svarsvalidering.

CVE-2016-4643: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University; Jerry Decime koordinerad via CERT

CFNetwork Proxies

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Ett program kan oavsiktligt skicka ett lösenord okrypterat över nätverket

Beskrivning: Proxyautentiseringen rapporterade felaktigt att HTTP-proxyservrar tagit emot inloggningsuppgifterna på ett säkert sätt. Problemet åtgärdades genom förbättrade varningar.

CVE-2016-4642: Jerry Decime koordinerad via CERT

CoreGraphics

Tillgänglig för: Apple TV (4:e generationen)

Effekt: En fjärrangripare kan köra godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4637: Tyler Bohan på Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tillgänglig för: Apple TV (4:e generationen)

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2016-4632: Evgeny Sidorov på Yandex

ImageIO

Tillgänglig för: Apple TV (4:e generationen)

Effekt: En fjärrangripare kan köra godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4631: Tyler Bohan på Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tillgängligt för: Apple TV (4:e generationen)

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7705: Craig Young på Tripwire VERT

IOAcceleratorFamily

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad validering.

CVE-2016-4627: Ju Zhu på Trend Micro

IOHIDFamily

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-4626: Stefan Esser på SektionEins

Kernel

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-1863: Ian Beer på Google Project Zero

CVE-2016-4653: Ju Zhu på Trend Micro

CVE-2016-4582: Shrek_wzw och Proteas på Qihoo 360 Nirvan Team

Kernel

Tillgänglig för: Apple TV (4:e generationen)

Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) på KeenLab(@keen_lab), Tencent

libxml2

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas

Beskrivning: Ett åtkomstproblem förekom i tolkningen av skadliga XML-filer. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2016-4449: Kostya Serebryany

libxml2

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Flera sårbarheter i libxml2

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei och Liu Yang på Nanyang Technological University

CVE-2016-4447: Wei Lei och Liu Yang på Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

libxslt

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Flera sårbarheter i libxslt

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Sandlådeprofiler

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Ett lokalt program kan få åtkomst till processlistan

Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades med ytterligare begränsningar.

CVE-2016-4594: Stefan Esser på SektionEins

WebKit

Tillgängligt för: Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4586: Apple

CVE-2016-4588: Apple

CVE-2016-4589: Tongbo Luo och Bo Qu på Palo Alto Networks

CVE-2016-4622: Samuel Gross i samarbete med Trend Micros Zero Day Initiative

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt utformat webbinnehåll kan avslöja bilddata från en annan webbplats

Beskrivning: Ett problem med timing förekom i bearbetningen av SVG. Problemet har åtgärdats genom förbättrad validering.

CVE-2016-4583: Roeland Krak

WebKit

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett problem med minnesinitieringen åtgärdades genom förbättrad minneshantering.

CVE-2016-4587: Apple

WebKit

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett behörighetsproblem förekom i hanteringen av platsvariabeln. Det åtgärdades genom ytterligare ägarskapskontroller.

CVE-2016-4591: ma.la på LINE Corporation

WebKit

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att tjänster nekas av systemet

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2016-4592: Mikhail

WebKits laddning av sidor

Tillgänglig för: Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till godtycklig

kodkörning

Beskrivning: Flera minnesproblem åtgärdades

genom förbättrad minneshantering.

CVE-2016-4584: Chris Vienneau

WebKits laddning av sidor

Tillgänglig för: Apple TV (4:e generationen)

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett problem med skriptkörning över flera platser förekom vid omdirigering av Safari-webbadresser. Problemet åtgärdades genom förbättrad URL-validering vid omdirigering.

CVE-2016-4585: Takeshi Terada på Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)