tvOS 10.1'in güvenlik içeriği hakkında
Bu belgede tvOS 10.1'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
tvOS 10.1
Ses
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7658: Tencent Keen Lab'den (@keen_lab) Haohao Kong
CVE-2016-7659: Tencent Keen Lab'den (@keen_lab) Haohao Kong
CoreFoundation
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlı dizelerin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Dizelerin işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE-2016-7663: anonim bir araştırmacı
CoreGraphics
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-7627: TRAPMINE Inc. ve Meysam Firouzi @R00tkitSMM
CoreMedia Harici Ekranlar
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir uygulama, mediaserver arka plan programı bağlamında rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2016-7655: Keen Lab (Trend Micro'nun Zero Day Initiative programıyla)
CoreMedia Oynatma
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir .mp4 dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7588: Huawei 2012 Laboratories'den dragonltx
CoreText
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.
CVE-2016-7595: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)
CoreText
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi servis reddine yol açabilir
Açıklama: Doğrulama işlemi iyileştirilerek, örtüşen aralıkların işlenmesiyle ilgili bir sorun giderildi.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Digital Unit'ten (dgunit.com) Saif Al-Hinai (welcom_there)
Disk Görüntüleri
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7616: daybreaker@Minionz (Trend Micro'nun Zero Day Initiative programıyla)
FontParser
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.
CVE-2016-4691: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)
ICU
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7594: André Bargull
ImageIO
İlgili ürünler: Apple TV (4. nesil)
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2016-7643: Qihoo360 Qex Team'den Yangkang (@dnpushme)
IOHIDFamily
İlgili ürünler: Apple TV (4. nesil)
Etki: Sistem ayrıcalıklarına sahip yerel bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2016-7591: Minionz'dan daybreaker
IOKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, çekirdek belleğini okuyabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7657: Keen Lab (Trend Micro'nun Zero Day Initiative programıyla)
IOKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.
CVE-2016-7714: KeenLab'den Qidan He (@flanker_hqd) (Trend Micro'nun Zero Day Initiative programıyla)
JavaScriptCore
İlgili ürünler: Apple TV (4. nesil)
Etki: JavaScript korumalı alanlarından birinde yürütülen bir betik, korumalı alanın dışındaki durumlara erişebilir
Açıklama: JavaScript işlenirken ortaya çıkan bir doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4695: Google'dan Mark S. Miller
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-7606: @cocoahuke, Topsec Alpha Team'den (topsec.com) Chen Qin
CVE-2016-7612: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, çekirdek belleğini okuyabilir
Açıklama: Kullanıcı alanına dönen belleğin doğru şekilde başlatılması sağlanarak bir yetersiz başlatma sorunu giderildi.
CVE-2016-7607: Brandon Azad
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2016-7615: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2016-7621: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7637: Google Project Zero'dan Ian Beer
Çekirdek
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir uygulama, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2016-7647: Qihoo 360 Vulcan Team'den Lufeng Li
libarchive
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir saldırgan, mevcut dosyaların üzerine yazabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2016-7619: anonim bir araştırmacı
Güç Yönetimi
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek "Mach port" ad referanslarındaki bir sorun giderildi.
CVE-2016-7661: Google Project Zero'dan Ian Beer
Profiller
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş bir sertifikanın açılması, rastgele kod yürütülmesine neden olabilir
Açıklama: Sertifika profillerinin işlenmesinde bir bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Güvenlik
İlgili ürünler: Apple TV (4. nesil)
Etki: Bir saldırgan 3DES şifreleme algoritmasındaki açıktan yararlanabilir
Açıklama: 3DES, saptanmış şifreler arasından kaldırıldı.
CVE-2016-4693: INRIA Paris'ten Gaëtan Leurent ve Karthikeyan Bhargavan
Güvenlik
İlgili ürünler: Apple TV (4. nesil)
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir
Açıklama: OCSP yanıtlayıcı URL'lerinin işlenmesinde bir doğrulama sorunu vardı. CA doğrulamasından sonra OCSP iptal durumunun doğrulanması sağlanarak ve sertifika başına OCSP isteği sayısı sınırlanarak bu sorun giderildi.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Güvenlik
İlgili ürünler: Apple TV (4. nesil)
Etki: Sertifikalar beklenmeyen şekilde güvenilir olarak değerlendirilebilir
Açıklama: Sertifika doğrulamasında bir sertifika değerlendirme sorunu vardı. Sertifikalara ek doğrulama yapılarak bu sorun giderildi.
CVE-2016-7662: Apple
syslog
İlgili ürünler: Apple TV (4. nesil)
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek "Mach port" ad referanslarındaki bir sorun giderildi.
CVE-2016-7660: Google Project Zero'dan Ian Beer
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4743: Alan Cutter
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2016-7586: Boris Zbarsky
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Baidu Security Lab'den Zheng Huang (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2016-7611: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2016-7639: Palo Alto Networks'ten Tongbo Luo
CVE-2016-7640: Tencent Xuanwu Lab'den (tencent.com) Kai Kang
CVE-2016-7641: Tencent Xuanwu Lab'den (tencent.com) Kai Kang
CVE-2016-7642: Palo Alto Networks'ten Tongbo Luo
CVE-2016-7645: Tencent Xuanwu Lab'den (tencent.com) Kai Kang
CVE-2016-7646: Tencent Xuanwu Lab'den (tencent.com) Kai Kang
CVE-2016-7648: Tencent Xuanwu Lab'den (tencent.com) Kai Kang
CVE-2016-7649: Tencent Xuanwu Lab'den (tencent.com) Kai Kang
CVE-2016-7654: Keen Lab (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Bellek başlatma iyileştirilerek bir başlatılmamış bellek sorunu giderildi.
CVE-2016-7598: Samuel Groß
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: HTTP yönlendirmelerinin işlenmesiyle ilgili bir sorun vardı. Kaynaklar arası doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-7599: Recruit Technologies Co., Ltd.'den Muneaki Nishimura (nishimunea)
WebKit
İlgili ürünler: Apple TV (4. nesil)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7632: Jeonghoon Shin
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.