tvOS 10.0.1'in güvenlik içeriği hakkında
Bu belgede, tvOS 10.0.1'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla soruşturma gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak Apple ile görüşmelerinizi şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıklarından mümkün olduğunda CVE Kimliği'yle bahsedilir.
tvOS 10.0.1
AppleMobileFileIntegrity
İlgili ürünler: Apple TV (4. nesil)
Etki: İmzalı yürütülebilir bir dosya aynı ekip kimliğine sahip bir kodla değiştirilebilir
Açıklama: Kod imzalarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun ek doğrulama aracılığıyla giderildi.
CVE-2016-7584: Google Inc.'den Mark Mentovai ve Boris Vidolov
CFNetwork Proxy'ler
İlgili ürünler: Apple TV (4. nesil)
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Proxy kimlik bilgilerinin işlenmesinde, bir kimlik hırsızlığı sorunu vardı. Bu sorun, proxy'lere yönelik istenmeyen parola doğrulama istemleri kaldırılarak giderildi.
CVE-2016-7579: Jerry Decime
CoreGraphics
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4673: KeenLab (@keen_lab), Tencent'ten Marco Grassi (@marcograss)
FontParser
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir fontu ayrıştırmak, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Sınırların dışında bir okuma sorunu, sınırların denetimi iyileştirilerek giderildi.
CVE-2016-4660: Tencent Xuanwu Lab'den Ke Liu
FontParser
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE-2016-4688: Alipay firmasından Simon Huang, thelongestusernameofall@gmail.com
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir
Açıklama: Bir doğrulama sorunu, girdi temizleme işlemi iyileştirilerek giderildi.
CVE-2016-4680: Lookout'tan Max Bazaliy ve in7egral
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Yeni işlemlerin oluşturulmasında birden çok nesne yaşam süresi sorunu vardı. Bu sorunlar, doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-7613: Google Project Zero'dan Ian Beer
libarchive
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlı bir arşiv, rastgele dosyaların üzerine yazabilir
Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Bu sorun, yol temizleme işlemi iyileştirilerek giderildi.
CVE-2016-4679: enSilo Ltd'den Omer Medan
libxpc
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir mantık sorunu, ek kısıtlamalarla giderildi.
CVE-2016-4675: Google Project Zero'dan Ian Beer
Korumalı Alan Profilleri
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, fotoğraf dizinlerinin meta verilerini alabilir
Açıklama: Bir erişim sorunu, üçüncü taraf uygulamalara yönelik ek korumalı alan kısıtlamalarıyla giderildi.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Bükreş Politeknik Üniversitesi); Luke Deshotels, William Enck (Kuzey Karolina Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Darmstadt Teknik Üniversitesi)
Korumalı Alan Profilleri
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, ses kayıt dizinlerinin meta verilerini alabilir
Açıklama: Bir erişim sorunu, üçüncü taraf uygulamalara yönelik ek korumalı alan kısıtlamalarıyla giderildi.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Bükreş Politeknik Üniversitesi); Luke Deshotels, William Enck (Kuzey Karolina Üniversitesi); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Darmstadt Teknik Üniversitesi)
Sistemi Başlatma
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: MIG tarafından oluşturulmuş kodda, birden çok girdi doğrulama sorunu vardı. Bu sorunlar, doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4669: Google Project Zero'dan Ian Beer
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Bir girdi doğrulama sorunu, durum yönetimi iyileştirilerek giderildi.
CVE-2016-4613: Chris Palmer
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4666: Apple
CVE-2016-4677: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-7578: Apple
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.