tvOS 9.2.2'nin güvenlik içeriği hakkında

Bu belgede tvOS 9.2.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

tvOS 9.2.2

CFNetwork Kimlik Bilgileri

İlgili ürünler: Apple TV (4. nesil)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Anahtar Zinciri'ne kaydedilmiş HTTP kimlik doğrulama bilgilerinde eski sürüme düşürme sorunu vardı. Kimlik doğrulama türleri kimlik bilgileriyle birlikte depolanarak bu sorun giderildi.

CVE-2016-4644: CERT tarafından koordine edilen Jerry Decime

CFNetwork Proxy'ler

İlgili ürünler: Apple TV (4. nesil)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: 407 yanıtlarının ayrıştırılmasında bir doğrulama sorunu vardı. Yanıt doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4643: Tsinghua Üniversitesi Blue Lotus Ekibinden Xiaofeng Zheng; CERT tarafından koordine edilen Jerry Decime

CFNetwork Proxy'ler

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama farkında olmadan bir parolayı ağ üzerinden şifrelemeden gönderebilir

Açıklama: Proxy kimlik doğrulama, kimlik bilgilerinin HTTP proxy'ler tarafından güvenli olarak alındığı şeklinde yanlış bir bildirimde bulundu. Uyarılar iyileştirilerek bu sorun giderildi.

CVE-2016-4642: CERT tarafından koordine edilen Jerry Decime

CoreGraphics

İlgili ürünler: Apple TV (4. nesil)

Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-4637: Cisco Talos'tan (talosintel.com/vulnerability-reports) Tyler Bohan

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2016-4632: Yandex'ten Evgeny Sidorov

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-4631: Cisco Talos'tan (talosintel.com/vulnerability-reports) Tyler Bohan

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7705: Tripwire VERT'den Craig Young

IOAcceleratorFamily

İlgili ürünler: Apple TV (4. nesil)

Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2016-4627: Trend Micro'dan Ju Zhu

IOHIDFamily

İlgili ürünler: Apple TV (4. nesil)

Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2016-4626: SektionEins'tan Stefan Esser

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-1863: Google Project Zero'dan Ian Beer

CVE-2016-4653: Trend Micro'dan Ju Zhu

CVE-2016-4582: Qihoo 360 Nirvan Team'den Shrek_wzw ve Proteas

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2016-1865: CESG, Tencent KeenLab'den (@keen_lab) Marco Grassi (@marcograss)

libxml2

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir XML belgesini ayrıştırmak kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Kötü amaçlarla oluşturulmuş XML dosyalarının ayrıştırılmasıyla ilgili bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4449: Kostya Serebryany

libxml2

İlgili ürünler: Apple TV (4. nesil)

Etki: libxml2'de birden çok güvenlik açığı

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang

CVE-2016-4447: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

libxslt

İlgili ürünler: Apple TV (4. nesil)

Etki: libxslt'de birden çok güvenlik açığı

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Korumalı Alan Profilleri

İlgili ürünler: Apple TV (4. nesil)

Etki: Yerel bir uygulama, işlem listesine erişebilir

Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek kısıtlamalarla bu sorun giderildi.

CVE-2016-4594: SektionEins'tan Stefan Esser

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-4586: Apple

CVE-2016-4588: Apple

CVE-2016-4589: Palo Alto Networks'ten Tongbo Luo ve Bo Qu

CVE-2016-4622: Samuel Gross (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, başka bir web sitesindeki görüntü verilerinin açığa çıkmasına neden olabilir

Açıklama: SVG'nin işlenmesiyle ilgili bir zamanlama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4583: Roeland Krak

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek başlatma sorunu giderildi.

CVE-2016-4587: Apple

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek hassas bilgileri sızdırabilir

Açıklama: Konum değişkeninin işlenmesiyle ilgili bir izin sorunu vardı. Ek sahiplik denetimleriyle bu sorun giderildi.

CVE-2016-4591: LINE Corporation'dan ma.la

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir web içeriğini işlemek sistemde servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2016-4592: Mikhail

WebKit Sayfa Yüklemesi

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek rastgele

kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok

bellek bozulması sorunu giderildi.

CVE-2016-4584: Chris Vienneau

WebKit Sayfa Yüklemesi

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

Açıklama: Safari'de URL'yi yeniden yönlendirmeyle ilgili bir siteler arası betik kullanımı sorunu tespit edildi. Yeniden yönlendirme sırasında URL doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-4585: Mitsui Bussan Secure Directions, Inc. şirketinden (www.mbsd.jp) Takeshi Terada