关于 tvOS 10.1 的安全性内容

本文介绍了 tvOS 10.1 的安全性内容。

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

tvOS 10.1

发布于 2016 年 12 月 12 日

音频

适用于:Apple TV(第 4 代)

影响:处理恶意制作的文件可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2016-7658:腾讯科恩实验室 (@keen_lab) 的 Haohao Kong

CVE-2016-7659:腾讯科恩实验室 (@keen_lab) 的 Haohao Kong

这个条目添加于 2016 年 12 月 13 日

CoreFoundation

适用于:Apple TV(第 4 代)

影响:处理恶意字符串可能会导致应用程序意外终止或任意代码执行

描述:处理字符串时存在内存损坏问题。此问题已通过改进边界检查得到解决。

CVE-2016-7663:一位匿名研究人员

这个条目添加于 2016 年 12 月 13 日

CoreGraphics

适用于:Apple TV(第 4 代)

影响:处理恶意制作的字体文件可能会导致应用程序意外终止

描述:已通过改进输入验证解决空指针取消引用问题。

CVE-2016-7627:TRAPMINE Inc. 和 Meysam Firouzi @R00tkitSMM

这个条目添加于 2016 年 12 月 13 日

CoreMedia 外部显示屏

适用于:Apple TV(第 4 代)

影响:本地应用程序或许能在媒体服务器守护程序环境下执行任意代码

描述:已通过改进内存处理解决类型混淆问题。

CVE-2016-7655:与 Trend Micro 的 Zero Day Initiative 合作的科恩实验室

这个条目添加于 2016 年 12 月 13 日

CoreMedia 播放

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 .mp4 文件可能会导致任意代码执行

描述:已通过改进内存处理解决内存损坏问题。

CVE-2016-7588:华为 2012 实验室的 dragonltx

这个条目添加于 2016 年 12 月 13 日

CoreText

适用于:Apple TV(第 4 代)

影响:处理恶意制作的字体文件可能会导致执行任意代码

描述:处理字体文件时存在多个内存损坏问题。已通过改进边界检查解决这些问题。

CVE-2016-7595:腾讯安全平台部的 riusksk(泉哥)

这个条目添加于 2016 年 12 月 13 日

CoreText

适用于:Apple TV(第 4 代)

影响:处理恶意制作的字符串可能会导致服务遭拒

描述:已通过改进验证解决重叠范围渲染问题。

CVE-2016-7667:Nasser Al-Hadhrami (@fast_hack)、Digital Unit (dgunit.com) 的 Saif Al-Hinai (welcom_there)

这个条目添加于 2016 年 12 月 15 日

磁盘映像

适用于:Apple TV(第 4 代)

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进输入验证解决内存损坏问题。

CVE-2016-7616:与 Trend Micro 的 Zero Day Initiative 合作的 daybreaker@Minionz

这个条目添加于 2016 年 12 月 13 日

FontParser

适用于:Apple TV(第 4 代)

影响:处理恶意制作的字体文件可能会导致执行任意代码

描述:处理字体文件时存在多个内存损坏问题。已通过改进边界检查解决这些问题。

CVE-2016-4691:腾讯安全平台部的 riusksk(泉哥)

这个条目添加于 2016 年 12 月 13 日

ICU

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致任意代码执行

描述:已通过改进内存处理解决内存损坏问题。

CVE-2016-7594:André Bargull

这个条目添加于 2016 年 12 月 13 日

ImageIO

适用于:Apple TV(第 4 代)

影响:远程攻击者或许能够泄露内存

描述:已通过改进边界检查解决越界读取问题。

CVE-2016-7643:奇虎 360 Qex 团队的 Yangkang (@dnpushme)

这个条目添加于 2016 年 12 月 13 日

IOHIDFamily

适用于:Apple TV(第 4 代)

影响:拥有系统权限的本地应用程序或许能够利用内核权限执行任意代码

描述:已通过改进内存管理解决“释放后使用”问题。

CVE-2016-7591:Minionz 的 daybreaker

这个条目添加于 2016 年 12 月 13 日

IOKit

适用于:Apple TV(第 4 代)

影响:应用程序或许能够读取内核内存

描述:已通过改进输入验证解决内存损坏问题。

CVE-2016-7657:与 Trend Micro 的 Zero Day Initiative 合作的科恩实验室

这个条目添加于 2016 年 12 月 13 日

IOKit

适用于:Apple TV(第 4 代)

影响:本地用户或许能够确定内核内存布局

描述:已通过改进内存处理解决共享内存问题。

CVE-2016-7714:与 Trend Micro 的 Zero Day Initiative 合作的科恩实验室的 Qidan He (@flanker_hqd)

这个条目添加于 2017 年 1 月 25 日

JavaScriptCore

适用于:Apple TV(第 4 代)

影响:JavaScript 沙盒中执行的对话脚本或许能够访问沙盒之外的状态

描述:处理 JavaScript 时存在验证问题。已通过改进验证解决这个问题。

CVE-2016-4695:Google 的 Mark S. Miller

这个条目添加于 2017 年 8 月 16 日

内核

适用于:Apple TV(第 4 代)

影响:应用程序或许能够以内核权限执行任意代码 

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2016-7606:@cocoahuke、天融信阿尔法团队 (topsec.com) 的 Chen Qin

CVE-2016-7612:Google Project Zero 的 Ian Beer

这个条目添加于 2016 年 12 月 13 日

内核

适用于:Apple TV(第 4 代)

影响:应用程序或许能够读取内核内存

描述:已通过正确初始化返回用户空间的内存解决初始化不充分问题。

CVE-2016-7607:Brandon Azad

这个条目添加于 2016 年 12 月 13 日

内核

适用于:Apple TV(第 4 代)

影响:本地用户或许能够导致服务遭系统拒绝

描述:已通过改进内存处理解决服务遭拒问题。

CVE-2016-7615:英国国家网络安全中心 (NCSC)

这个条目添加于 2016 年 12 月 13 日

内核

适用于:Apple TV(第 4 代)

影响:本地用户或许能够导致系统意外终止或在内核中执行任意代码

描述:已通过改进内存管理解决“释放后使用”问题。

CVE-2016-7621:Google Project Zero 的 Ian Beer

这个条目添加于 2016 年 12 月 13 日

内核

适用于:Apple TV(第 4 代)

影响:本地用户或许能够获得根权限

描述:已通过改进输入验证解决内存损坏问题。

CVE-2016-7637:Google Project Zero 的 Ian Beer

这个条目添加于 2016 年 12 月 13 日

内核

适用于:Apple TV(第 4 代)

影响:某个应用程序或许能够导致服务遭拒

描述:已通过改进内存处理解决服务遭拒问题。

CVE-2016-7647:奇虎 360 Vulcan Team 的 Lufeng Li

这个条目添加于 2017 年 5 月 17 日

libarchive

适用于:Apple TV(第 4 代)

影响:本地攻击者或许能够改写现有文件

描述:处理符号链接时存在验证问题。已通过改进对符号链接的验证解决这个问题。

CVE-2016-7619:一位匿名研究人员

这个条目添加于 2016 年 12 月 13 日

电源管理

适用于:Apple TV(第 4 代)

影响:本地用户或许能够获得根权限

描述:已通过改进验证解决 mach 端口名称引用中的问题。

CVE-2016-7661:Google Project Zero 的 Ian Beer

这个条目添加于 2016 年 12 月 13 日

描述文件

适用于:Apple TV(第 4 代)

影响:打开恶意制作的证书可能会导致任意代码执行

描述:处理证书描述文件时存在内存损坏问题。已通过改进输入验证解决这个问题。

CVE-2016-7626:Maksymilian Arciemowicz (cxsecurity.com)

安全性

适用于:Apple TV(第 4 代)

影响:攻击者或许能够利用 3DES 密码算法中的漏洞

描述:已将 3DES 作为默认密码移除。

CVE-2016-4693:INRIA Paris 的 Gaëtan Leurent 和 Karthikeyan Bhargavan

这个条目添加于 2016 年 12 月 13 日

安全性

适用于:Apple TV(第 4 代)

影响:拥有特权网络地位的攻击者或许能够导致服务遭拒

描述:处理 OCSP 响应程序 URL 时存在验证问题。已通过在 CA 验证完成后验证 OCSP 吊销状态并限制每张证书的 OCSP 请求数量解决这个问题。

CVE-2016-7636:Maksymilian Arciemowicz (cxsecurity.com)

这个条目添加于 2016 年 12 月 13 日

安全性

适用于:Apple TV(第 4 代)

影响:证书可能会被意外评估为受信任

描述:证书验证中存在证书评估问题。已通过对证书进行额外验证解决这个问题。

CVE-2016-7662:Apple

这个条目添加于 2016 年 12 月 13 日

syslog

适用于:Apple TV(第 4 代)

影响:本地用户或许能够获得根权限

描述:已通过改进验证解决 mach 端口名称引用中的问题。

CVE-2016-7660:Google Project Zero 的 Ian Beer

这个条目添加于 2016 年 12 月 13 日

WebKit

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致任意代码执行

描述:已通过改进内存处理解决多个内存损坏问题。

CVE-2016-4692:Apple

CVE-2016-7635:Apple

CVE-2016-7652:Apple

这个条目添加于 2016 年 12 月 13 日

WebKit

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致进程内存泄露

描述:已通过改进输入验证解决内存损坏问题。

CVE-2016-4743:Alan Cutter

这个条目添加于 2016 年 12 月 13 日

WebKit

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致泄露用户信息

描述:已通过改进状态管理解决验证问题。

CVE-2016-7586:Boris Zbarsky

这个条目添加于 2016 年 12 月 13 日

WebKit

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致任意代码执行

描述:已通过改进状态管理解决多个内存损坏问题。

CVE-2016-7587:Adam Klein

CVE-2016-7610:与 Trend Micro 的 Zero Day Initiative 合作的百度安全实验室的 Zheng Huang

CVE-2016-7611:与 Trend Micro 的 Zero Day Initiative 合作的一位匿名研究人员

CVE-2016-7639:Palo Alto Networks 的 Tongbo Luo

CVE-2016-7640:腾讯玄武实验室 (tencent.com) 的 Kai Kang

CVE-2016-7641:腾讯玄武实验室 (tencent.com) 的 Kai Kang

CVE-2016-7642:Palo Alto Networks 的 Tongbo Luo

CVE-2016-7645:腾讯玄武实验室 (tencent.com) 的 Kai Kang

CVE-2016-7646:腾讯玄武实验室 (tencent.com) 的 Kai Kang

CVE-2016-7648:腾讯玄武实验室 (tencent.com) 的 Kai Kang

CVE-2016-7649:腾讯玄武实验室 (tencent.com) 的 Kai Kang

CVE-2016-7654:与 Trend Micro 的 Zero Day Initiative 合作的科恩实验室

这个条目添加于 2016 年 12 月 13 日

WebKit

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致任意代码执行

描述:已通过改进状态管理解决内存损坏问题。

CVE-2016-7589:Apple

CVE-2016-7656:与 Trend Micro 的 Zero Day Initiative 合作的科恩实验室

这个条目添加于 2016 年 12 月 13 日

WebKit

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致进程内存泄露

描述:已通过改进内存初始化解决未初始化内存的访问问题。

CVE-2016-7598:Samuel Groß

这个条目添加于 2016 年 12 月 13 日

WebKit

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致泄露用户信息

描述:处理 HTTP 重定向时存在问题。已通过改进跨源验证解决这个问题。

CVE-2016-7599:Recruit Technologies Co.,Ltd. 的 Muneaki Nishimura (nishimunea)

这个条目添加于 2016 年 12 月 13 日

WebKit

适用于:Apple TV(第 4 代)

影响:处理恶意制作的 Web 内容可能会导致应用程序意外终止或任意代码执行

描述:已通过改进状态管理解决内存损坏问题。

CVE-2016-7632:Jeonghoon Shin

这个条目添加于 2016 年 12 月 13 日

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: