Informazioni sui contenuti di sicurezza di tvOS 10.2
In questo documento vengono descritti i contenuti di sicurezza di tvOS 10.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
tvOS 10.2
Audio
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2430: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-2462: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
Carbon
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file con estensione .dfont pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione dei file font. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) di Tencent Security Platform Department
CoreGraphics
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: una ricorsione infinita è stata risolta tramite una migliore gestione dello stato.
CVE-2017-2417: riusksk (泉哥) di Tencent Security Platform Department
CoreGraphics
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2444: Mei Wang di 360 GearTeam
CoreText
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un font pericoloso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un messaggio di testo dannoso può causare l'interruzione del servizio di un'applicazione.
Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2461: un ricercatore anonimo, Isaac Archambault di IDAoADI
FontParser
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2487: riusksk (泉哥) di Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) di Tencent Security Platform Department
FontParser
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file di font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2407: riusksk (泉哥) di Tencent Security Platform Department
FontParser
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un font pericoloso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Disponibile per: Apple TV (4a generazione)
Impatto: un server HTTP/2 pericoloso potrebbe causare un comportamento non definito.
Descrizione: nelle versioni di nghttp2 precedenti alla 1.17.0 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di nghttp2 alla versione 1.17.0.
CVE-2017-2428
ImageIO
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) di KeenLab, Tencent
ImageIO
Disponibile per: Apple TV (4a generazione)
Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2432: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
ImageIO
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un file di dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2467
ImageIO
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un'immagine pericolosa può causare la chiusura improvvisa dell'applicazione.
Descrizione: nelle versioni di LibTIFF precedenti alla 4.0.7 esisteva un problema di lettura non nei limiti, che è stato risolto con l'aggiornamento di LibTIFF in ImageIO alla versione 4.0.7.
CVE-2016-3619
JavaScriptCore
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2491: Apple
JavaScriptCore
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di una pagina web pericolosa può comportare lo scripting cross-site universale.
Descrizione: un problema del prototipo è stato risolto attraverso una migliore logica.
CVE-2017-2492: lokihardt di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2401: Lufeng Li di Qihoo 360 Vulcan Team
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2017-2440: un ricercatore anonimo
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root.
Descrizione: una race condition è stata risolta attraverso una migliore gestione della memoria.
CVE-2017-2456: lokihardt di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2472: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2473: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un errore off-by-one è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2474: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta mediante un blocco migliore.
CVE-2017-2478: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2482: Ian Beer di Google Project Zero
CVE-2017-2483: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può eseguire codice arbitrario con privilegi elevati.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2490: Ian Beer di Google Project Zero, National Cyber Security Centre (NCSC) del Regno Unito
Tastiere
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può eseguire codice arbitrario
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2458: Shashank (@cyberboyIndia)
Portachiavi
Disponibile per: Apple TV (4a generazione)
Impatto: un malintenzionato in grado di intercettare connessioni TLS può essere in grado di leggere informazioni riservate protette dal portachiavi iCloud.
Descrizione: in alcune circostanze, il portachiavi iCloud non riusciva a convalidare l'autenticità dei pacchetti OTR. che è stato risolto attraverso una migliore convalida.
CVE-2017-2448: Alex Radocea di Longterm Security, Inc.
libarchive
Disponibile per: Apple TV (4a generazione)
Impatto: un utente malintenzionato locale può essere in grado di modificare le autorizzazioni del file system in directory arbitrarie.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2017-2390: Omer Medan di enSilo Ltd
libc++abi
Disponibile per: Apple TV (4a generazione)
Impatto: il demangling di un'applicazione C++ pericolosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2441
libxslt
Disponibile per: Apple TV (4a generazione)
Impatto: si verificano diverse vulnerabilità in libxslt.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-5029: Holger Fuhrmannek
Sicurezza
Disponibile per: Apple TV (4a generazione)
Impatto: un'applicazione può eseguire codice arbitrario con privilegi root.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2451: Alex Radocea di Longterm Security, Inc.
Sicurezza
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di un certificato x509 pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria durante l'analisi dei certificati. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2485: Aleksandar Nikolic di Cisco Talos
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: un problema di accesso al prototipo è stato risolto attraverso una migliore gestione delle eccezioni.
CVE-2017-2386: André Bargull
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric di Google Project Zero, Zheng Huang di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-2455: Ivan Fratric di Google Project Zero
CVE-2017-2459: Ivan Fratric di Google Project Zero
CVE-2017-2460: Ivan Fratric di Google Project Zero
CVE-2017-2464: natashenka di Google Project Zero, Jeonghoon Shin
CVE-2017-2465: Zheng Huang e Wei Yuan di Baidu Security Lab
CVE-2017-2466: Ivan Fratric di Google Project Zero
CVE-2017-2468: lokihardt di Google Project Zero
CVE-2017-2469: lokihardt di Google Project Zero
CVE-2017-2470: lokihardt di Google Project Zero
CVE-2017-2476: Ivan Fratric di Google Project Zero
CVE-2017-2481: 0011 in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2415: Kai Kang di Tencent's Xuanwu Lab (tentcent.com)
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi può comportare un elevato utilizzo della memoria.
Descrizione: un problema di utilizzo incontrollato delle risorse è stato risolto migliorando l'elaborazione regex.
CVE-2016-9643: Gustavo Grieco
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: un sito web pericoloso può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.
CVE-2017-2367: lokihardt di Google Project Zero
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione degli oggetti frame. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2445: lokihardt di Google Project Zero
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema logico nella gestione delle funzioni strict mode. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2446: natashenka di Google Project Zero
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'accesso a un sito web pericoloso può compromettere le informazioni dell'utente.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2447: natashenka di Google Project Zero
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-2463: Kai Kang (4B5F5F4B) di Tencent's Xuanwu Lab (tencent.com) in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione dei frame. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2475: lokihardt di Google Project Zero
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione degli elementi. che è stato risolto attraverso una migliore convalida.
CVE-2017-2479: lokihardt di Google Project Zero
WebKit
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione degli elementi. che è stato risolto attraverso una migliore convalida.
CVE-2017-2480: lokihardt di Google Project Zero
CVE-2017-2493: lokihardt di Google Project Zero
Altri riconoscimenti
XNU
Ringraziamo Lufeng Li di Qihoo 360 Vulcan Team per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.