Informacije o sigurnosnom sadržaju ažuriranja softvera za Apple TV 4.4
U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja softvera za Apple TV 4.4.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja.
Ažuriranje softvera za Apple TV 4.4
Apple TV
Dostuono za: Apple TV 4.0 do 4.3
Utjecaj: napadač s privilegiranim mrežnim položajem može presresti korisničke vjerodajnice ili druge povjerljive podatke
Opis: više ovlaštenika za davanje certifikata kojima upravlja DigiNotar izdali su nevaljane certifikate. Problem je riješen tako što je DigiNotar uklonjen s popisa pouzdanih korijenskih certifikata te s popisa izdavača certifikata za proširenu validaciju i konfiguriranjem zadanih sistemskih postavki pouzdanosti na način da se certifikati DigiNotar, uključujući one koje izdaju drugi izdavači, ne smatraju pouzdanima.
Apple TV
Dostupno za: Apple TV 4.0 do 4.3
Utjecaj: podrška za certifikate X.509 s raspršivanjima MD5 može korisnike izložiti zavaravanju o otkrivanju informacija zbog poboljšanih napada
Opis: iOS je prihvatio certifikate potpisane koristeći algoritam raspršivanja MD5. Taj algoritam sadrži poznatu kriptografsku slabu točku. Dodatna istraživanja ili pogrešno konfiguriran izdavač certifikata mogli bi dopustiti izradu certifikata X.509 koji sadrže vrijednosti pod nadzorom napadača, a sustav bi ih smatrao pouzdanima. Time bi se protokoli na temelju certifikata X.509 izložili zavaravanju, presretanju i otkrivanju podataka. Ovim se ažuriranjem onemogućuje podrška za certifikate X.509 koji sadrže raspršivanje MD5 za bilo koju drugu svrhu, osim u svrhu pouzdanog korijenskog certifikata.
CVE-ID
CVE-2011-3427
Apple TV
Dostupno za: Apple TV 4.0 do 4.3
Utjecaj: napadač može dešifrirati dio SSL veze
Opis: podržane su samo verzije SSL-a SSLv3 i TLS 1.0. Te verzije sadrže slabe točke u protokolima prilikom korištenja blok-šifri. Presretač je mogao umetnuti nevažeće podatke i time zatvoriti vezu, ali i otkriti neke informacije o prethodno razmijenjenim podacima. Ako se ista veza pokuša uspostaviti više puta, napadač bi u konačnici mogao dešifrirati podatke koji se šalju, npr. lozinku. Taj je problem riješen dodavanjem podrške za TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
Dostupno za: Apple TV 4.0 do 4.3
Utjecaj: prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda
Opis: postojao je problem preljeva međuspremnika u baratanju kodiranim TIFF slikama CCITT grupe 4 od strane biblioteke libTIFF.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Dostupno za: Apple TV 4.0 do 4.3
Utjecaj: prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda
Opis: postojao je problem preljeva međuspremnika u baratanju kodiranim TIFF slikama CCITT grupe 4 od strane biblioteke ImageIO.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX iz tvrtke Tessi Technologies
Apple TV
Dostupno za: Apple TV 4.0 ili 4.3
Utjecaj: udaljeni napadač može uzrokovati resetiranje uređaja
Opis: jezgra nije uspjela na vrijeme oporaviti memoriju iz nepotpunih TCP veza. Napadač s mogućnošću povezivanja s osluškujućim servisom na iOS uređaju mogao je iscrpiti sistemske resurse.
CVE-ID
CVE-2011-3259: Wouter van der Veer iz tvrtke Topicus I&I i Josh Enders
Apple TV
Dostupno za: Apple TV 4.0 do 4.3
Impact: An napadač s privilegiranim mrežnim položajem može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda
Opis: prelijevanje međuspremnika snopa od jednog bajta se pojavio u baratanju XML podacima od strane biblioteke libxml.
CVE-ID
CVE-2011-0216: Billy Rios iz Googleovog tima za sigurnost
Apple TV
Dostupno za: Apple TV 4.0 do 4.3
Utjecaj: napadač s privilegiranim mrežnim položajem može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda
Opis: u okviru JavaScriptCore postojao je problem s oštećenjem memorije.
CVE-ID
CVE-2011-3232: Aki Helin iz tvrtke OUSPG
Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.