Om säkerhetsinnehållet i tvOS 10.0.1
Det här dokumentet beskriver säkerhetsinnehållet i tvOS 10.0.1.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan Apple produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar när det är möjligt till sårbarheter med hjälp av CVE-ID.
tvOS 10.0.1
AppleMobileFileIntegrity
Tillgänglig för: Apple TV (4:e generationen)
Effekt: En signerad körbar fil kan ersätta kod med samma team-ID
Beskrivning: Ett valideringsproblem förekom i hanteringen av kodsignaturer. Problemet har åtgärdats genom ytterligare validering.
CVE-2016-7584: Mark Mentovai och Boris Vidolov på Google Inc.
CFNetwork Proxies
Tillgänglig för: Apple TV (4:e generationen)
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: Ett problem med nätfiske förekom i hanteringen av inloggningsuppgifter till proxyn. Problemet åtgärdades genom att ta bort oönskade uppmaningar om att autentisera lösenord för proxyservern.
CVE-2016-7579: Jerry Decime
CoreGraphics
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4673: Marco Grassi (@marcograss) på KeenLab (@keen_lab), Tencent
FontParser
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Tolkning av ett skadligt typsnitt kan avslöja känslig användarinformation
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.
CVE-2016-4660: Ke Liu på Tencents Xuanwu Lab
FontParser
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av opålitlig kod
Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-2016-4688: Simon Huang på företaget Alipay, thelongestusernameofall@gmail.com
Kärna
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett program kan avslöja kärnminnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad inmatningssanering.
CVE-2016-4680: Max Bazaliy på Lookout och in7egral
Kärna
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett lokalt program kan köra opålitlig kod med rotprivilegier
Beskrivning: Flera problem med objektens livslängd förekom vid skapande av nya processer. Dessa åtgärdades genom förbättrad validering.
CVE-2016-7613: Ian Beer på Google Project Zero
libarchive
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett skadligt arkiv kan skriva över filer oförutsägbart
Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symlänkar. Problemet åtgärdades genom förbättrad sökvägssanering.
CVE-2016-4679: Omer Medan på enSilo Ltd
libxpc
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett program kan köra godtycklig kod med rotprivilegier
Beskrivning: Ett logiskt problem åtgärdades genom ytterligare begränsningar.
CVE-2016-4675: Ian Beer på Google Project Zero
Sandlådeprofiler
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett program kan hämta metadata för bildkataloger
Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för program från tredje part.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Sandlådeprofiler
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett program kan hämta metadata för ljudinspelningskataloger
Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för program från tredje part.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Systemstart
Tillgänglig för: Apple TV (4:e generationen)
Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i kärnan
Beskrivning: Flera problem med indatavalidering förekom i MIG-genererad kod. Dessa problem åtgärdades genom förbättrad validering.
CVE-2016-4669: Ian Beer på Google Project Zero
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att användarinformation avslöjas
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad tillståndshantering.
CVE-2016-4613: Chris Palmer
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-4666: Apple
CVE-2016-4677: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-7578: Apple
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.