Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
tvOS 10.1
Släpptes 12 december 2016
Ljud
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Bearbetning av en felaktigt utformad fil kan ge upphov till godtycklig kodkörning
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7658: Haohao Kong från Keen Lab (@keen_lab) på Tencent
CVE-2016-7659: Haohao Kong från Keen Lab (@keen_lab) på Tencent
Lades till 13 december 2016
CoreFoundation
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Bearbetning av skadliga strängar kan leda till att program avslutas oväntat eller godtycklig kodkörning
Beskrivning: Ett minnesfel förekom i bearbetningen av strängar. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-2016-7663: en anonym forskare
Lades till 13 december 2016
CoreGraphics
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av en skadligt utformad typsnittsfil kan leda till oväntad programavslutning
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-7627: TRAPMINE Inc. och Meysam Firouzi @R00tkitSMM
Lades till 13 december 2016
Extern visning av CoreMedia
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Ett lokalt program kan köra godtycklig kod i en medieserverdaemon
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2016-7655: Keen Lab i samarbete med Trend Micros Zero Day Initiative
Lades till 13 december 2016
Uppspelning av CoreMedia
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Bearbetning av en felaktigt utformad MP4-fil kan ge upphov till godtycklig kodkörning
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-7588: dragonltx på Huawei 2012 Laboratories
Lades till 13 december 2016
CoreText
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Bearbetning av en skadlig typsnittsfil kan leda till godtycklig kodkörning
Beskrivning: Flera minnesfel förekom i hanteringen av typsnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-2016-7595: riusksk(泉哥) på Tencent Security Platform-avdelningen
Lades till 13 december 2016
CoreText
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Bearbetning av en skadlig sträng kan leda till att tjänsten nekas
Beskrivning: Ett problem med rendering av överlappande intervall åtgärdades genom förbättrad validering.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) på Digital Unit (dgunit.com)
Lades till 15 december 2016
Skivavbilder
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7616: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative
Lades till 13 december 2016
FontParser
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Bearbetning av en skadlig typsnittsfil kan leda till godtycklig kodkörning
Beskrivning: Flera minnesfel förekom i hanteringen av typsnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-2016-4691: riusksk(泉哥) på Tencents Security Platform-avdelning
Lades till 13 december 2016
ICU
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-7594: André Bargull
Lades till 13 december 2016
ImageIO
Tillgänglig för: Apple TV (4:e generationen)
Effekt: En fjärrangripare kan läcka minne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.
CVE-2016-7643: Yangkang (@dnpushme) på Qihoo360 Qex Team
Lades till 13 december 2016
IOHIDFamily
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett lokalt program med systembehörighet kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7591: daybreaker på Minionz
Lades till 13 december 2016
IOKit
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Ett program kan läsa kärnminnet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7657: Keen Lab i samarbete med Trend Micros Zero Day Initiative
Lades till 13 december 2016
IOKit
Tillgängligt för: Apple TV (4:e generationen)
Effekt: En lokal användare kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7714: Qidan He (@flanker_hqd) på KeenLab i samarbete med Trend Micros Zero Day Initiative
Lades till 25 januari 2017
JavaScriptCore
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Skript som körs i en JavaScript-sandlåda kan komma åt tillstånd utanför den sandlådan
Beskrivning: Det fanns ett valideringsproblem vid bearbetningen av JavaScript. Problemet åtgärdades genom förbättrad validering.
CVE-2016-4695: Mark S. Miller på Google
Lades till 16 augusti 2017
Kärna
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7606: @cocoahuke, Chen Qin på Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer på Google Project Zero
Lades till 13 december 2016
Kärna
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Ett program kan läsa kärnminnet
Beskrivning: Ett problem med otillräcklig initiering åtgärdades genom att minne som returnerats till användarutrymmet initierades korrekt.
CVE-2016-7607: Brandon Azad
Lades till 13 december 2016
Kärna
Tillgänglig för: Apple TV (4:e generationen)
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.
CVE-2016-7615: Storbritanniens National Cyber Security Centre (NCSC)
Lades till 13 december 2016
Kärna
Tillgänglig för: Apple TV (4:e generationen)
Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av godtycklig kod i kärnan
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7621: Ian Beer på Google Project Zero
Lades till 13 december 2016
Kärna
Tillgänglig för: Apple TV (4:e generationen)
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7637: Ian Beer på Google Project Zero
Lades till 13 december 2016
Kärna
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Ett program kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.
CVE-2016-7647: Lufeng Li på Qihoo 360 Vulcan Team
Lades till 17 maj 2017
libarchive
Tillgänglig för: Apple TV (4:e generationen)
Effekt: En lokal angripare kan skriva över befintliga filer
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2016-7619: en anonym forskare
Lades till 13 december 2016
Strömhantering
Tillgängligt för: Apple TV (4:e generationen)
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett problem i mach-portnamnsreferenser åtgärdades genom förbättrad validering.
CVE-2016-7661: Ian Beer på Google Project Zero
Lades till 13 december 2016
Profiler
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Öppnande av ett skadligt certifikat leda till godtycklig kodkörning
Beskrivning: Ett minnesfel förekom i hanteringen av certifikatprofiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Säkerhet
Tillgängligt för: Apple TV (4:e generationen)
Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen 3DES
Beskrivning: 3DES togs bort som standardchiffer.
CVE-2016-4693: Gaëtan Leurent och Karthikeyan Bhargavan från INRIA Paris
Lades till 13 december 2016
Säkerhet
Tillgängligt för: Apple TV (4:e generationen)
Effekt: En angripare i en privilegierad nätverksposition kan orsaka att tjänsten nekas
Beskrivning: Ett valideringsproblem förekom i hanteringen av OSCP:s svarsadresser. Problemet åtgärdades genom att OCSP-återkallandestatus verifierades efter CA-valideringen och genom att antalet OCSP-begäranden per certifikat begränsades.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Lades till 13 december 2016
Säkerhet
Tillgängligt för: Apple TV (4:e generationen)
Effekt: Certifikat kan oväntat utvärderas som betrodda
Beskrivning: Det fanns ett utvärderingsfel i certifikatvalideringen. Problemet åtgärdades genom ytterligare validering av certifikat.
CVE-2016-7662: Apple
Lades till 13 december 2016
syslog
Tillgängligt för: Apple TV (4:e generationen)
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett problem i mach-portnamnsreferenser åtgärdades genom förbättrad validering.
CVE-2016-7660: Ian Beer på Google Project Zero
Lades till 13 december 2016
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
Lades till 13 december 2016
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till att processminnet visas
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-4743: Alan Cutter
Lades till 13 december 2016
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att användarinformation avslöjas
Beskrivning: Ett valideringsfel åtgärdades genom förbättrad tillståndshantering.
CVE-2016-7586: Boris Zbarsky
Lades till 13 december 2016
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod
Beskrivning: Flera minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang på Baidu Security Lab i samarbete med Trend Micros Zero Day Initiative
CVE-2016-7611: en anonym forskare i samarbete med Trend Micros Zero Day Initiative
CVE-2016-7639: Tongbo Luo på Palo Alto Networks
CVE-2016-7640: Kai Kang på Tencents Xuanwu Lab (tencent.com)
CVE-2016-7641: Kai Kang på Tencents Xuanwu Lab (tencent.com)
CVE-2016-7642: Tongbo Luo på Palo Alto Networks
CVE-2016-7645: Kai Kang på Tencents Xuanwu Lab (tencent.com)
CVE-2016-7646: Kai Kang på Tencents Xuanwu Lab (tencent.com)
CVE-2016-7648: Kai Kang på Tencents Xuanwu Lab (tencent.com)
CVE-2016-7649: Kai Kang på Tencents Xuanwu Lab (tencent.com)
CVE-2016-7654: Keen Lab i samarbete med Trend Micros Zero Day Initiative
Lades till 13 december 2016
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab i samarbete med Trend Micros Zero Day Initiative
Lades till 13 december 2016
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till att processminnet visas
Beskrivning: Ett icke-initialiserat minnesåtkomstproblem åtgärdades genom förbättrad minnesinitiering.
CVE-2016-7598: Samuel Groß
Lades till 13 december 2016
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att användarinformation avslöjas
Beskrivning: Ett problem förekom i hanteringen av HTTP-omdirigeringar. Problemet åtgärdades genom förbättrad cross-origin-validering.
CVE-2016-7599: Muneaki Nishimura (nishimunea) på Recruit Technologies Co., Ltd.
Lades till 13 december 2016
WebKit
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2016-7632: Jeonghoon Shin
Lades till 13 december 2016