tvOS 10.2'nin güvenlik içeriği hakkında

Bu belgede, tvOS 10.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

tvOS 10.2

Yayınlanma Tarihi: 27 Mart 2017

Ses

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2430: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı

CVE-2017-2462: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı

Carbon

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2017-2379: Doyensec'ten John Villamil, Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CoreGraphics

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir sonsuz yineleme sorunu giderildi.

CVE-2017-2417: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CoreGraphics

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2444: 360 GearTeam'den Mei Wang

CoreText

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2435: Doyensec'ten John Villamil

CoreText

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2017-2450: Doyensec'ten John Villamil

CoreText

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.

CVE-2017-2461: anonim bir araştırmacı, IDAoADI'dan Isaac Archambault

FontParser

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2487: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CVE-2017-2406: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

FontParser

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının ayrıştırılması uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2407: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

FontParser

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2017-2439: Doyensec'ten John Villamil

HTTPProtocol

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlı bir HTTP/2 sunucusu tanımlanmayan davranışa neden olabilir

Açıklama: 1.17.0 sürümünden önceki nghttp2 sürümlerinde birden çok sorun vardı. Bu sorunlar, nghttp2'nin 1.17.0 sürümüne güncellenmesiyle giderildi.

CVE-2017-2428

Giriş güncellenme tarihi: 28 Mart 2017

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2416: Tencent KeenLab'den Qidan He (何淇丹, @flanker_hqd)

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2432: Trend Micro'nun Zero Day Initiative programında çalışan anonim bir araştırmacı

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2467

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: 4.0.7 sürümünden önceki LibTIFF sürümlerinde sınırların dışında okuma sorunu vardı. Bu sorun, ImageIO'daki LibTIFF'in 4.0.7 sürümüne güncellenmesiyle giderildi.

CVE-2016-3619

JavaScriptCore

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2491: Apple

Giriş eklenme tarihi: 2 Mayıs 2017

JavaScriptCore

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web sayfasının işlenmesi siteler arası evrensel komut dosyası kullanımına neden olabilir

Açıklama: İşlem mantığı iyileştirilerek prototip sorunu giderildi.

CVE-2017-2492: Google Project Zero'dan lokihardt

Giriş güncellenme tarihi: 24 Nisan 2017

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2401: Qihoo 360 Vulcan Team'den Lufeng Li

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tamsayı taşması sorunu giderildi.

CVE-2017-2440: anonim bir araştırmacı

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir yarış durumu giderildi.

CVE-2017-2456: Google Project Zero'dan lokihardt

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2472: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2473: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınırların denetimi iyileştirilerek "artı/eksi 1 sapma" (off-by-one) hatası giderildi.

CVE-2017-2474: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2017-2478: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2482: Google Project Zero'dan Ian Beer

CVE-2017-2483: Google Project Zero'dan Ian Beer

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2490: Google Project Zero'dan Ian Beer, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Giriş eklenme tarihi: 31 Mart 2017

Klavyeler

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama rastgele kod yürütebilir

Açıklama: Sınırların denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2458: Shashank (@cyberboyIndia)

Anahtar Zinciri

İlgili ürünler: Apple TV (4. nesil)

Etki: TLS bağlantılarını ele geçirebilen bir saldırgan, iCloud Anahtar Zinciri ile korunan gizli içerikleri okuyabilir.

Açıklama: iCloud Anahtar Zinciri belirli durumlarda OTR paketlerinin gerçekliğini doğrulayamıyordu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2448: Longterm Security, Inc.'ten Alex Radocea

Giriş güncellenme tarihi: 30 Mart 2017

libarchive

İlgili ürünler: Apple TV (4. nesil)

Etki: Yerel konumdaki bir saldırgan, rastgele dizinlerde dosya sistemi izinlerini değiştirebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2017-2390: enSilo Ltd'den Omer Medan

libc++abi

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlı bir C++ uygulamasının kodunun çözülmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2441

libxslt

İlgili ürünler: Apple TV (4. nesil)

Etki: libxslt'de birden çok güvenlik açığı

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-5029: Holger Fuhrmannek

Giriş eklenme tarihi: 28 Mart 2017

Güvenlik

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınırların denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2451: Longterm Security, Inc.'ten Alex Radocea

Güvenlik

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş x509 sertifikasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sertifikaların ayrıştırılmasında bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2485: Cisco Talos'tan Aleksandar Nikolic

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir

Açıklama: İstisnaların işlenmesi iyileştirilerek bir prototip erişim sorunu giderildi.

CVE-2017-2386: André Bargull

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2395: Apple

CVE-2017-2454: Google Project Zero'dan Ivan Fratric, Trend Micro'nun Zero Day Initiative programında çalışan, Baidu Security Lab'den Zheng Huang

CVE-2017-2455: Google Project Zero'dan Ivan Fratric

CVE-2017-2459: Google Project Zero'dan Ivan Fratric

CVE-2017-2460: Google Project Zero'dan Ivan Fratric

CVE-2017-2464: Google Project Zero'dan Natalie Silvanovich, Jeonghoon Shin

CVE-2017-2465: Baidu Security Lab'den Zheng Huang ve Wei Yuan

CVE-2017-2466: Google Project Zero'dan Ivan Fratric

CVE-2017-2468: Google Project Zero'dan lokihardt

CVE-2017-2469: Google Project Zero'dan lokihardt

CVE-2017-2470: Google Project Zero'dan lokihardt

CVE-2017-2476: Google Project Zero'dan Ivan Fratric

CVE-2017-2481: Trend Micro'nun Zero Day Initiative programında çalışan 0011

Giriş güncellenme tarihi: 20 Haziran 2017

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Tür karışıklığı sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2415: Tencent Xuanwu Lab'den (tentcent.com) Kai Kang

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi yüksek düzeyde bellek tüketimine neden olabilir

Açıklama: Regex (normal ifade) işlemesi iyileştirilerek bir denetimsiz kaynak tüketimi sorunu giderildi.

CVE-2016-9643: Gustavo Grieco

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi, kaynaklar arasında veri sızdırabilir

Açıklama: Sayfa yüklemesinin işlenmesinde doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.

CVE-2017-2367: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Çerçeve nesnelerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2445: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Katı mod işlevlerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2446: Google Project Zero'dan Natalie Silvanovich

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi, kullanıcı bilgilerini tehlikeye atabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2447: Google Project Zero'dan Natalie Silvanovich

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2463: Tencent Xuanwu Lab'den (tencent.com), Trend Micro'nun Zero Day Initiative programında çalışan Kai Kang (4B5F5F4B)

Giriş eklenme tarihi: 28 Mart 2017

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Çerçeve işlemesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2475: Google Project Zero'dan lokihardt

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir

Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2479: Google Project Zero'dan lokihardt

Giriş eklenme tarihi: 28 Mart 2017

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir

Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2480: Google Project Zero'dan lokihardt

CVE-2017-2493: Google Project Zero'dan lokihardt

Giriş güncellenme tarihi: 24 Nisan 2017

Ek teşekkür listesi

XNU

Qihoo 360 Vulcan Team'den Lufeng Li'ye desteği için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: