Om säkerhetsinnehållet i tvOS 9.2

Det här dokumentet beskriver säkerhetsinnehållet i tvOS 9.2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

tvOS 9.2

  • FontParser

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till oväntad programavslutning eller godtycklig kodkörning

    Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1740 : HappilyCoded (ant4g0nist och r3dsm0k3) i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • HTTPProtocol

    Tillgänglig för: Apple TV (4:e generationen)

    Problem: En angripare kan lyckas köra godtycklig kod

    Beskrivning: Flera sårbarheter förekom i nghttp2-versioner innan 1.6.0, av vilka den allvarligaste kan leda till fjärrkörning av kod. Dessa åtgärdades genom att nghttp2 uppdaterades till 1.6.0.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Ett program kan ta reda på layouten för kärnminnet

    Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Kärna

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1750: CESG

  • Kärna

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Flera heltalsspill åtgärdades genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1753 : Juwei Lin, Trend Micro, i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • Kärna

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Ett program kan kringgå kodsignering

    Beskrivning: Det förekom ett behörighetsproblem som ledde till att körningsbehörighet felaktigt beviljades. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

    CVE-ID

    CVE-2016-1751: Eric Monti på Square Mobile Security

  • Kärna

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1754: Lufeng Li på Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer på Google Project Zero

  • Kärna

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Ett program kan orsaka att tjänster nekas

    Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad validering.

    CVE-ID

    CVE-2016-1752: CESG

  • libxml2

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Bearbetning av uppsåtligt skapad XML kan leda till oväntad programavslutning eller godtycklig kodkörning

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale på Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany på Google

    CVE-2015-7942: Kostya Serebryany på Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1762

  • Säkerhet

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Bearbetning av ett felaktigt utformat certifikat kan ge upphov till körning av godtycklig kod

    Beskrivning: Ett minnesfel förekom i ASN.1-avkodaren. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1950 : Francis Gabriel på Quarkslab

  • TrueTypeScaler

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan leda till godtycklig kodkörning.

    Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1775: 0x1byte i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • WebKit

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Att öppna skadligt webbinnehåll kan leda till godtycklig kodkörning

    Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1783: Mihai Parparita på Google

  • WebKit-historik

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari oväntat kraschar

    Beskrivning: Ett problem med resursbegränsning åtgärdades genom förbättrad indataverifiering.

    CVE-ID

    CVE-2016-1784: Moony Li och Jack Tang på TrendMicro och 李普君 på 无声信息技术PKAV Team (PKAV.net)

  • Wi-Fi

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: En angripare med en privilegierad nätverksposition kan orsaka godtycklig kodkörning

    Beskrivning: Ett ramvaliderings- och minnesproblem förekom för en given ethertype. Problemet åtgärdades genom ytterligare ethertype-validering och förbättrad minneshantering.

    CVE-ID

    CVE-2016-0801: En anonym forskare

    CVE-2016-0802: En anonym forskare

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: