tvOS 10.2'nin güvenlik içeriği hakkında
Bu belgede, tvOS 10.2'nin güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
tvOS 10.2
Ses
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2430: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2017-2462: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
Carbon
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2379: Doyensec'ten John Villamil, Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
CoreGraphics
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir sonsuz yineleme sorunu giderildi.
CVE-2017-2417: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
CoreGraphics
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2444: 360 GearTeam'den Mei Wang
CoreText
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2435: Doyensec'ten John Villamil
CoreText
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2017-2450: Doyensec'ten John Villamil
CoreText
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.
CVE-2017-2461: anonim bir araştırmacı, IDAoADI'dan Isaac Archambault
FontParser
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2487: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
CVE-2017-2406: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
FontParser
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının ayrıştırılması uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2407: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)
FontParser
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2017-2439: Doyensec'ten John Villamil
HTTPProtocol
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlı bir HTTP/2 sunucusu tanımlanmayan davranışa neden olabilir
Açıklama: 1.17.0 sürümünden önceki nghttp2 sürümlerinde birden çok sorun vardı. Bu sorunlar, nghttp2'nin 1.17.0 sürümüne güncellenmesiyle giderildi.
CVE-2017-2428
ImageIO
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2416: Tencent KeenLab'den Qidan He (何淇丹, @flanker_hqd)
ImageIO
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2432: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
ImageIO
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2467
ImageIO
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: 4.0.7 sürümünden önceki LibTIFF sürümlerinde sınırların dışında okuma sorunu vardı. Bu sorun, ImageIO'daki LibTIFF'in 4.0.7 sürümüne güncellenmesiyle giderildi.
CVE-2016-3619
JavaScriptCore
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2491: Apple
JavaScriptCore
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web sayfasının işlenmesi siteler arası evrensel komut dosyası kullanımına neden olabilir
Açıklama: İşlem mantığı iyileştirilerek prototip sorunu giderildi.
CVE-2017-2492: Google Project Zero'dan lokihardt
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2401: Qihoo 360 Vulcan Team'den Lufeng Li
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2017-2440: anonim bir araştırmacı
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir yarış durumu giderildi.
CVE-2017-2456: Google Project Zero'dan lokihardt
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2472: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2473: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınırların denetimi iyileştirilerek "artı/eksi 1 sapma" (off-by-one) hatası giderildi.
CVE-2017-2474: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.
CVE-2017-2478: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2017-2482: Google Project Zero'dan Ian Beer
CVE-2017-2483: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2490: Google Project Zero'dan Ian Beer, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)
Klavyeler
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2017-2458: Shashank (@cyberboyIndia)
Anahtar Zinciri
İlgili ürünler: Apple TV (4. nesil)
Etki: TLS bağlantılarını ele geçirebilen bir saldırgan, iCloud Anahtar Zinciri ile korunan gizli içerikleri okuyabilir.
Açıklama: iCloud Anahtar Zinciri belirli durumlarda OTR paketlerinin gerçekliğini doğrulayamıyordu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2448: Longterm Security, Inc. şirketinden Alex Radocea
libarchive
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir saldırgan, rastgele dizinlerde dosya sistemi izinlerini değiştirebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2017-2390: enSilo Ltd'den Omer Medan
libc++abi
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlı bir C++ uygulamasının kodunun çözülmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2441
libxslt
İlgili ürünler: Apple TV (4. nesil)
Etki: libxslt'de birden çok güvenlik açığı
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-5029: Holger Fuhrmannek
Güvenlik
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2017-2451: Longterm Security, Inc. şirketinden Alex Radocea
Güvenlik
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş x509 sertifikasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sertifikaların ayrıştırılmasında bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2485: Cisco Talos'tan Aleksandar Nikolic
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: İstisnaların işlenmesi iyileştirilerek bir prototip erişim sorunu giderildi.
CVE-2017-2386: André Bargull
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2395: Apple
CVE-2017-2454: Google Project Zero'dan Ivan Fratric, Trend Micro'nun Zero Day Initiative programında çalışan, Baidu Security Lab'den Zheng Huang
CVE-2017-2455: Google Project Zero'dan Ivan Fratric
CVE-2017-2459: Google Project Zero'dan Ivan Fratric
CVE-2017-2460: Google Project Zero'dan Ivan Fratric
CVE-2017-2464: Google Project Zero'dan natashenka, Jeonghoon Shin
CVE-2017-2465: Baidu Security Lab'den Zheng Huang ve Wei Yuan
CVE-2017-2466: Google Project Zero'dan Ivan Fratric
CVE-2017-2468: Google Project Zero'dan lokihardt
CVE-2017-2469: Google Project Zero'dan lokihardt
CVE-2017-2470: Google Project Zero'dan lokihardt
CVE-2017-2476: Google Project Zero'dan Ivan Fratric
CVE-2017-2481: 0011 (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2017-2415: Tencent Xuanwu Lab'den (tentcent.com) Kai Kang
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi yüksek düzeyde bellek tüketimine neden olabilir
Açıklama: Regex (normal ifade) işlemesi iyileştirilerek bir denetimsiz kaynak tüketimi sorunu giderildi.
CVE-2016-9643: Gustavo Grieco
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir
Açıklama: Sayfa yüklemesinin işlenmesinde doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2367: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Çerçeve nesnelerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2445: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Katı mod işlevlerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2446: Google Project Zero'dan natashenka
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi, kullanıcı bilgilerini tehlikeye atabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2447: Google Project Zero'dan natashenka
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2463: Tencent Xuanwu Lab'den (tencent.com) Kai Kang (4B5F5F4B) (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Çerçeve işlemesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2475: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2479: Google Project Zero'dan lokihardt
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2480: Google Project Zero'dan lokihardt
CVE-2017-2493: Google Project Zero'dan lokihardt
Ek teşekkür listesi
XNU
Qihoo 360 Vulcan Team'den Lufeng Li'ye desteği için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.