Om säkerhetsinnehållet i tvOS 11.1

Det här dokumentet beskriver säkerhetsinnehållet i tvOS 11.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

tvOS 11.1

CoreText

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Bearbetning av en skadligt utformad textfil kan leda till oväntad programavslutning

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.

CVE-2017-13849: Ro på SavSec

Kernel

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13799: Lufeng Li på Qihoo 360 Vulcan Team

Kernel

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: En skadlig applikation kan få reda på information om andra applikationer och deras funktion på enheten.

Beskrivning: En applikation kunde obegränsat komma åt information om processer som underhölls av operativsystemet. Problemet åtgärdades genom begränsning av hastigheten.

CVE-2017-13852: Xiaokuan Zhang och Yinqian Zhang på The Ohio State University, Xueqiang Wang och XiaoFeng Wang på Indiana University Bloomington och Xiaolong Bai på Tsinghua University

StreamingZip

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: En skadligt utformad zip-fil kan ändra i begränsade områden på filsystemet

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2017-13804: @qwertyoruiopz på KJC Research Intl. S.R.L.

WebKit

Tillgängligt för: Apple TV 4K och Apple TV (4:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-13783: Ivan Fratric på Google Project Zero

CVE-2017-13784: Ivan Fratric på Google Project Zero

CVE-2017-13785: Ivan Fratric på Google Project Zero

CVE-2017-13788: xisigr på Tencents Xuanwu Lab (tencent.com)

CVE-2017-13791: Ivan Fratric på Google Project Zero

CVE-2017-13792: Ivan Fratric på Google Project Zero

CVE-2017-13793: Hanul Choi tillsammans med Trend Micros Zero Day Initiative

CVE-2017-13794: Ivan Fratric på Google Project Zero

CVE-2017-13795: Ivan Fratric på Google Project Zero

CVE-2017-13796: Ivan Fratric på Google Project Zero

CVE-2017-13797: Ivan Fratric på Google Project Zero

CVE-2017-13798: Ivan Fratric på Google Project Zero

CVE-2017-13802: Ivan Fratric på Google Project Zero

CVE-2017-13803: chenqin (陈钦) på Ant-financial Light-Year Security

Wifi

Tillgängligt för: Apple TV 4K

Påverkas inte: Apple TV (4:e generationen)

Effekt: En angripare inom wifi-räckhåll kan tvinga nonce-återanvändning i WPA unicast/PTK-klienter (Key Reinstallation Attacks – KRACK)

Beskrivning: Det fanns ett logikproblem i hanteringen av tillståndsövergångar. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-13077: Mathy Vanhoef på imec-DistriNet group vid KU Leuven

CVE-2017-13078: Mathy Vanhoef på imec-DistriNet group vid KU Leuven

Wifi

Tillgängligt för: Apple TV 4K

Effekt: En angripare inom wifi-räckhåll kan tvinga nonce-återanvändning i WPA multicast/GTK-klienter (Key Reinstallation Attacks – KRACK)

Beskrivning: Det fanns ett logikproblem i hanteringen av tillståndsövergångar. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-13080: Mathy Vanhoef på imec-DistriNet group vid KU Leuven