Mengenai konten keamanan di Apple TV 7.0.3
Dokumen ini menjelaskan konten keamanan di Apple TV 7.0.3.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.
Apple TV 7.0.3
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Perintah afc perusak yang berbahaya dapat mengizinkan akses ke bagian sistem file yang dilindungi
Deskripsi: Kerentanan yang ditemukan dalam mekanisme tautan simbolis afc. Masalah ini telah diatasi dengan menambahkan pemeriksaan jalur tambahan.
CVE-ID
CVE-2014-4480 : Tim TaiG Jailbreak
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Membuka file PDF perusak yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat yang ditemukan saat menangani file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4481 : Felipe Andres Manzano dari Binamuse VRT, melalui iSIGHT Partners GVP Program
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode yang tidak ditandatangani
Deskripsi: Masalah manajemen status yang ditemukan dalam penanganan file yang dapat dieksekusi Mach-O dengan segmen yang tumpang tindih. Masalah ini diatasi melalui peningkatan validasi ukuran segmen
CVE-ID
CVE-2014-4455 : Tim TaiG Jailbreak
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Membuka file Excel perusak yang berbahaya dapat mengakibatkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer yang ditemukan saat menangani file font. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4483 : Apple
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Memproses file .dfont perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori yang ditemukan saat menangani file .dfont. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4484 : Gaurav Baruah yang bekerja sama dengan Zero Day Initiative dari HP
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Menampilkan file XML perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer yang ditemukan dalam parser XML. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4485 : Apple
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Dereferensi penunjuk nol yang ditemukan dalam penanganan daftar sumber daya IOAcceleratorFamily. Masalah ini telah diatasi dengan menghapus kode yang tidak diperlukan.
CVE-ID
CVE-2014-4486 : Ian Beer dari Google Project Zero
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kelebihan buffer yang ditemukan dalam IOHIDFamily. Masalah ini telah diatasi dengan validasi ukuran yang ditingkatkan.
CVE-ID
CVE-2014-4487 : TaiG Jailbreak Team
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah validasi yang ditemukan dalam penanganan metadata antrean sumber daya IOHIDFamily. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.
CVE-ID
CVE-2014-4488 : Apple
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Dereferensi penunjuk nol yang ditemukan dalam penanganan antrean kejadian IOHIDFamily. Masalah ini telah diatasi dengan validasi yang ditingkatkan
CVE-ID
CVE-2014-4489 : @beist
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Aplikasi iOS perusak yang berbahaya atau disusupi mungkin dapat menentukan alamat dalam kernel
Deskripsi: Masalah pengungkapan informasi yang ditemukan dalam penanganan API yang terkait dengan ekstensi kernel. Respons yang mengandung kunci OSBundleMachOHeaders mungkin mencakup alamat kernel, yang mungkin membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini diatasi dengan tidak menggeser alamat sebelum mengembalikannya.
CVE-ID
CVE-2014-4491 : @PanguTeam, Stefan Esser
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah yang ditemukan di subsistem memori bersama kernel yang memungkinkan penyerang menulis ke memori yang ditujukan untuk hanya dapat dibaca. Masalah ini telah diatasi dengan pemeriksaan yang lebih ketat terhadap izin memori bersama.
CVE-ID
CVE-2014-4495 : Ian Beer dari Google Project Zero
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Aplikasi iOS perusak yang berbahaya atau disusupi mungkin dapat menentukan alamat dalam kernel
Deskripsi: Antarmuka kernel mach_port_kobject membocorkan alamat kernel dan nilai permutasi tumpukan, yang dapat membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini telah diatasi dengan menonaktifkan antarmuka mach_port_kobject dalam konfigurasi produksi.
CVE-ID
CVE-2014-4496 : Tim TaiG Jailbreak
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: App berbahaya dan sandbox dapat membahayakan networkd daemon
Deskripsi: Berbagai masalah kebingungan terkait jenis yang ditemukan dalam penanganan komunikasi antarproses networkd. Dengan mengirimkan pesan berformat yang berbahaya ke networkd, kode arbitrer dapat dieksekusi sebagai proses networkd. Masalah ini telah diatasi melalui pemeriksaan tipe tambahan.
CVE-ID
CVE-2014-4492 : Ian Beer dari Google Project Zero
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Lembar gaya dimuat lintas-asal yang memungkinkan eksfiltrasi data
Deskripsi: SVG yang dimuat dalam elemen img dapat memuat file CSS lintas-asal. Masalah ini telah diatasi melalui pemblokiran yang ditingkatkan dari referensi CSS eksternal di SVG.
CVE-ID
CVE-2014-4465 : Rennie deGraaf dari iSEC Partners
Apple TV
Tersedia untuk: Apple TV generasi ke-3 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori yang ditemukan di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2014-3192 : cloudfuzzer
CVE-2014-4459
CVE-2014-4466 : Apple
CVE-2014-4468 : Apple
CVE-2014-4469 : Apple
CVE-2014-4470 : Apple
CVE-2014-4471 : Apple
CVE-2014-4472 : Apple
CVE-2014-4473 : Apple
CVE-2014-4474 : Apple
CVE-2014-4475 : Apple
CVE-2014-4476 : Apple
CVE-2014-4477 : lokihardt@ASRT yang bekerja sama dengan Zero Day Initiative dari HP
CVE-2014-4479 : Apple
Apple TV
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Keterangan: Pustaka Kerberos libgssapi mengembalikan token konteks dengan penunjuk yang menggantung. Masalah ini telah diatasi dengan meningkatkan manajemen status.
CVE-ID
CVE-2014-5352
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.