tvOS 11‘in güvenlik içeriği hakkında

Bu belgede tvOS 11'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

tvOS 11

Yayınlanma tarihi: 19 Eylül 2017

802.1X

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir saldırgan, TLS 1.0 protokolündeki zayıflıktan yararlanabilir

Açıklama: TLS 1.1 ve TLS 1.2 etkinleştirilerek bir protokol güvenliği sorunu giderildi.

CVE-2017-13832: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

CFNetwork Proxy'ler

İlgili ürünler: Apple TV (4. nesil)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla servis reddi sorunu giderildi.

CVE-2017-7083: Zscaler Inc. şirketinden Abhinav Bansal

Giriş eklenme tarihi: 25 Eylül 2017

CoreAudio

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Opus 1.1.4 sürümüne güncelleme yapılarak, sınırların dışında okuma sorunu giderildi.

CVE-2017-0381: Trend Micro, Mobile Threat Research Team'den V.E.O (@VYSEa)

Giriş eklenme tarihi: 25 Eylül 2017

CoreText

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-13825: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017

file

İlgili ürünler: Apple TV (4. nesil)

Etki: file'da birden fazla sorun

Açıklama: Yazılım 5.31 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-13815

Giriş eklenme tarihi: 31 Ekim 2017

Fontlar

İlgili ürünler: Apple TV (4. nesil)

Açıklama: Güvenilmeyen metinlerin işlenmesi sahteciliğe yol açabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2017-13828: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

HFS

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13830: Bochum Ruhr Üniversitesi'nden Sergej Schumilo

Giriş eklenme tarihi: 31 Ekim 2017

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13814: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017

ImageIO

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Disk görüntülerinin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-13831: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13817: Maxime Villard (m00nbsd)

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13818: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

CVE-2017-13836: anonim bir araştırmacı, anonim bir araştırmacı

CVE-2017-13841: anonim bir araştırmacı

CVE-2017-13840: anonim bir araştırmacı

CVE-2017-13842: anonim bir araştırmacı

CVE-2017-13782: anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13843: anonim bir araştırmacı, anonim bir araştırmacı

Giriş eklenme tarihi: 31 Ekim 2017

Çekirdek

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-7114: MWR InfoSecurity'den Alex Plaskett

Giriş eklenme tarihi: 25 Eylül 2017

libarchive

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-13813: OSS-Fuzz tarafından bulundu

CVE-2017-13816: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 31 Ekim 2017

libarchive

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: libarchive'da birden fazla bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorunlar giderildi.

CVE-2017-13812: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 31 Ekim 2017

libc

İlgili ürünler: Apple TV (4. nesil)

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: Algoritma iyileştirilerek glob()'daki kaynak tükenmesi sorunu giderildi.

CVE-2017-7086: Google'dan Russ Cox

Giriş eklenme tarihi: 25 Eylül 2017

libc

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-1000373

Giriş eklenme tarihi: 25 Eylül 2017

libexpat

İlgili ürünler: Apple TV (4. nesil)

Etki: expat'te birden fazla sorun

Açıklama: Yazılım 2.2.1 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2016-9063

CVE-2017-9233

Giriş eklenme tarihi: 25 Eylül 2017

Göz At

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13822: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Giriş eklenme tarihi: 31 Ekim 2017

Güvenlik

İlgili ürünler: Apple TV (4. nesil)

Etki: İptal edilmiş bir sertifikaya güvenilebilir

Açıklama: İptal verilerinin işlenmesinde bir sertifika doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-7080: anonim bir araştırmacı, adesso mobile solutions gmbh'den Sven Driemecker, Bærum kommune'den Rune Darrud (@theflyingcorpse), anonim bir araştırmacı

Giriş eklenme tarihi: 25 Eylül 2017

SQLite

İlgili ürünler: Apple TV (4. nesil)

Etki: SQLite'ta birden fazla sorun

Açıklama: Yazılım 3.19.3 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-10989: OSS-Fuzz tarafından bulundu

CVE-2017-7128: OSS-Fuzz tarafından bulundu

CVE-2017-7129: OSS-Fuzz tarafından bulundu

CVE-2017-7130: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 25 Eylül 2017

SQLite

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-7127: anonim bir araştırmacı

Giriş eklenme tarihi: 25 Eylül 2017

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-7081: Apple

Giriş eklenme tarihi: 25 Eylül 2017

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2017-7087: Apple

CVE-2017-7091: Baidu Security Lab'den Wei Yuan (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2017-7092: Qihoo 360 Vulcan Team'den Qixun Zhao (@S0rryMybad), Samuel Gro ve Niklas Baumstark (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2017-7093: Samuel Gro ve Niklas Baumstark (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2017-7094: Leviathan Security Group'tan Tim Michaud (@TimGMichaud)

CVE-2017-7095: Nanyang Teknoloji Üniversitesi'nden Wang Junjie, Wei Lei ve Liu Yang (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2017-7096: Baidu Security Lab'den Wei Yuan

CVE-2017-7098: Instituto Tecnológico de Aeronáutica'dan Felipe Freitas

CVE-2017-7099: Apple

CVE-2017-7100: Cure53'ten Masato Kinugawa ve Mario Heiderich

CVE-2017-7102: Nanyang Teknoloji Üniversitesi'nden Wang Junjie, Wei Lei ve Liu Yang

CVE-2017-7104: Baidu Security Lab'den likemeng

CVE-2017-7107: Nanyang Teknoloji Üniversitesi'nden Wang Junjie, Wei Lei ve Liu Yang

CVE-2017-7111: Baidu Security Lab'den (xlab.baidu.com) likemeng (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2017-7117: Google Project Zero'dan lokihardt

CVE-2017-7120: Ant-financial Light-Year Security Lab'den chenqin (陈钦)

Giriş eklenme tarihi: 25 Eylül 2017

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Bir kaynağa ait olan çerezler başka bir kaynağa gönderilebilir

Açıklama: Web tarayıcısı çerezlerinin işlenmesiyle ilgili bir izin sorunu vardı. Artık özel URL düzenleri için çerez döndürülmemesi sağlanarak bu sorun giderildi.

CVE-2017-7090: Apple

Giriş eklenme tarihi: 25 Eylül 2017

WebKit

İlgili ürünler: Apple TV (4. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Uygulama Önbelleği politikası beklenmedik bir şekilde uygulanabilir.

CVE-2017-7109: avlidienbrunn

Giriş eklenme tarihi: 25 Eylül 2017

Wi-Fi

İlgili ürünler: Apple TV (4. nesil)

Etki: Kapsama alanındaki bir saldırgan, Wi-Fi çipi üzerinde rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-11120: Google Project Zero'dan Gal Beniamini

CVE-2017-11121: Google Project Zero'dan Gal Beniamini

Giriş eklenme tarihi: 25 Eylül 2017

Wi-Fi

İlgili ürünler: Apple TV (4. nesil)

Etki: Wi-Fi çipinde kötü amaçlı kod yürütülmesi, uygulama işlemcisinde çekirdek ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-7103: Google Project Zero'dan Gal Beniamini

CVE-2017-7105: Google Project Zero'dan Gal Beniamini

CVE-2017-7108: Google Project Zero'dan Gal Beniamini

CVE-2017-7110: Google Project Zero'dan Gal Beniamini

CVE-2017-7112: Google Project Zero'dan Gal Beniamini

Wi-Fi

İlgili ürünler: Apple TV (4. nesil)

Etki: Wi-Fi çipinde kötü amaçlı kod yürütülmesi, uygulama işlemcisinde çekirdek ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek birden fazla yarış durumu giderildi.

CVE-2017-7115: Google Project Zero'dan Gal Beniamini

Wi-Fi

İlgili ürünler: Apple TV (4. nesil)

Etki: Wi-Fi çipinde kötü amaçlı kod yürütülmesi, sınırlanmış çekirdek belleğinin okunmasına neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-7116: Google Project Zero'dan Gal Beniamini

Wi-Fi

İlgili ürünler: Apple TV (4. nesil)

Etki: Kapsama alanındaki bir saldırgan, Wi-Fi yonga ailesinden sınırlanmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-11122: Google Project Zero'dan Gal Beniamini

Giriş eklenme tarihi: 9 Ekim 2017

zlib

İlgili ürünler: Apple TV (4. nesil)

Etki: zlib'de birden fazla sorun

Açıklama: Yazılım 1.2.11 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Giriş eklenme tarihi: 25 Eylül 2017

Ek teşekkür listesi

Güvenlik

Zscaler Inc. şirketinden Abhinav Bansal'a desteği için teşekkür ederiz.

WebKit

The City School, PAF Chapter'dan Rayyan Bijoora'ya (@Bijoora) desteği için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: