tvOS 9.2.2'nin güvenlik içeriği hakkında
Bu belgede tvOS 9.2.2'nin güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
tvOS 9.2.2
CFNetwork Kimlik Bilgileri
İlgili ürünler: Apple TV (4. nesil)
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Anahtar Zinciri'ne kaydedilmiş HTTP kimlik doğrulama bilgilerinde eski sürüme düşürme sorunu vardı. Kimlik doğrulama türleri kimlik bilgileriyle birlikte depolanarak bu sorun giderildi.
CVE-2016-4644: CERT tarafından koordine edilen Jerry Decime
CFNetwork Proxy'ler
İlgili ürünler: Apple TV (4. nesil)
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: 407 yanıtlarının ayrıştırılmasında bir doğrulama sorunu vardı. Yanıt doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4643: Tsinghua Üniversitesi Blue Lotus Ekibinden Xiaofeng Zheng; CERT tarafından koordine edilen Jerry Decime
CFNetwork Proxy'ler
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama farkında olmadan bir parolayı ağ üzerinden şifrelemeden gönderebilir
Açıklama: Proxy kimlik doğrulama, kimlik bilgilerinin HTTP proxy'ler tarafından güvenli olarak alındığı şeklinde yanlış bir bildirimde bulundu. Uyarılar iyileştirilerek bu sorun giderildi.
CVE-2016-4642: CERT tarafından koordine edilen Jerry Decime
CoreGraphics
İlgili ürünler: Apple TV (4. nesil)
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4637: Cisco Talos'tan (talosintel.com/vulnerability-reports) Tyler Bohan
ImageIO
İlgili ürünler: Apple TV (4. nesil)
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.
CVE-2016-4632: Yandex'ten Evgeny Sidorov
ImageIO
İlgili ürünler: Apple TV (4. nesil)
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4631: Cisco Talos'tan (talosintel.com/vulnerability-reports) Tyler Bohan
ImageIO
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7705: Tripwire VERT'den Craig Young
IOAcceleratorFamily
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-4627: Trend Micro'dan Ju Zhu
IOHIDFamily
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-4626: SektionEins'tan Stefan Esser
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-1863: Google Project Zero'dan Ian Beer
CVE-2016-4653: Trend Micro'dan Ju Zhu
CVE-2016-4582: Qihoo 360 Nirvan Team'den Shrek_wzw ve Proteas
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-1865: CESG, Tencent KeenLab'den (@keen_lab) Marco Grassi (@marcograss)
libxml2
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir XML belgesini ayrıştırmak kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Kötü amaçlarla oluşturulmuş XML dosyalarının ayrıştırılmasıyla ilgili bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4449: Kostya Serebryany
libxml2
İlgili ürünler: Apple TV (4. nesil)
Etki: libxml2'de birden çok güvenlik açığı
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang
CVE-2016-4447: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxslt
İlgili ürünler: Apple TV (4. nesil)
Etki: libxslt'de birden çok güvenlik açığı
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Korumalı Alan Profilleri
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir uygulama, işlem listesine erişebilir
Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek kısıtlamalarla bu sorun giderildi.
CVE-2016-4594: SektionEins'tan Stefan Esser
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4586: Apple
CVE-2016-4588: Apple
CVE-2016-4589: Palo Alto Networks'ten Tongbo Luo ve Bo Qu
CVE-2016-4622: Samuel Gross (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, başka bir web sitesindeki görüntü verilerinin açığa çıkmasına neden olabilir
Açıklama: SVG'nin işlenmesiyle ilgili bir zamanlama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4583: Roeland Krak
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek başlatma sorunu giderildi.
CVE-2016-4587: Apple
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek hassas bilgileri sızdırabilir
Açıklama: Konum değişkeninin işlenmesiyle ilgili bir izin sorunu vardı. Ek sahiplik denetimleriyle bu sorun giderildi.
CVE-2016-4591: LINE Corporation'dan ma.la
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir web içeriğini işlemek sistemde servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.
CVE-2016-4592: Mikhail
WebKit Sayfa Yüklemesi
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek rastgele
kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok
bellek bozulması sorunu giderildi.
CVE-2016-4584: Chris Vienneau
WebKit Sayfa Yüklemesi
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir
Açıklama: Safari'de URL'yi yeniden yönlendirmeyle ilgili bir siteler arası betik kullanımı sorunu tespit edildi. Yeniden yönlendirme sırasında URL doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4585: Mitsui Bussan Secure Directions, Inc. şirketinden (www.mbsd.jp) Takeshi Terada
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.