Informazioni sul contenuto di sicurezza dell'aggiornamento 4.4 del software di Apple TV

In questo documento viene descritto il contenuto di sicurezza dell'aggiornamento 4.4 del software di Apple TV.

Questo articolo è stato archiviato e non viene più aggiornato da Apple.

Per proteggere i propri clienti, Apple non divulga né contesta o conferma informazioni su alcun problema relativo alla sicurezza, finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili i necessari aggiornamenti e correzioni della versione. Per ulteriori informazioni, consulta il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, per ulteriori informazioni sulle vulnerabilità vengono utilizzati gli ID CVE.

Per informazioni aggiuntive sugli aggiornamenti di sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".

Aggiornamento 4.4 del software di Apple TV

  • Apple TV

    Disponibile per: Apple TV da 4.0 a 4.3

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate

    Descrizione: molte autorità di certificazione hanno emesso certificati falsificati operati da DigiNotar. Questo problema viene risolto rimuovendo DigiNotar dall'elenco dei certificati root attendibili e dall'elenco delle autorità di certificazione Convalida estesa e configurando le impostazioni di default per la verifica della fiducia del sistema, in modo da rendere attendibili i certificati DigiNotar, inclusi quelli emessi da altre autorità.

  • Apple TV

    Disponibile per: Apple TV da 4.0 a 4.3

    Impatto: il supporto per i certificati X.509 con hash MD5 può esporre gli utenti allo spoofing e alla divulgazione di informazioni man mano che gli attacchi vengono perfezionati

    Descrizione: i certificati firmati che utilizzano l'algoritmo con hash MD5 sono stati accettati da iOS. Questo algoritmo ha dei punti di debolezza crittografici noti. Ulteriori ricerche o un'autorità di certificazione erroneamente configurata, possono disporre del criterio dei certificati X.509 con valori di attacco controllati resi attendibili dal sistema. Questi dispongono di protocolli basati su X.509 che possono essere esposti ad attacchi di spoofing, man in the middle e divulgazione delle informazioni. L'aggiornamento consente di supportare un certificato X.509 con hash MD5 per qualsiasi uso diverso da quello del certificato root attendibile.

    ID CVE

    CVE-2011-3427

  • Apple TV

    Disponibile per: Apple TV da 4.0 a 4.3

    Impatto: un malintenzionato potrebbe decrittografare parte di una connessione SSL

    Descrizione: erano supportate solo le versioni SSLv3 e TLS 1.0 di SSL. Quando viene utilizzata la crittografia a blocchi, tali versioni sono soggette a debolezze del protocollo. Un malintenzionato man-in-the-middle potrebbe aver inserito dati non validi, provocando la chiusura della connessione ma la visualizzazione di alcune informazioni relative ai dati precedenti. In caso di tentativi di connessione ripetuti, il malintenzionato potrebbe essere in grado di decrittografare i dati inviati, come ad esempio una password. Il problema viene risolto aggiungendo il supporto per TLS 1.2.

    ID CVE

    CVE-2011-3389

  • Apple TV

    Disponibile per: Apple TV da 4.0 a 4.3

    Impatto: l'apertura di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF codificate in CCITT Group 4 di libTIFF.

    ID CVE

    CVE-2011-0192: Apple

  • Apple TV

    Disponibile per: Apple TV da 4.0 a 4.3

    Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: un overflow del buffer di heap nella gestione delle immagini TIFF codificate in CCITT Group 4 di ImageIO.

    ID CVE

    CVE-2011-0241 : Cyril CATTIAUX di Tessi Technologies

  • Apple TV

    Disponibile per: Apple TV da 4.0 a 4.3

    Impatto: un malintenzionato remoto potrebbe provocare un ripristino del dispositivo

    Descrizione: kernel non riuscito per recuperare immediatamente la memoria delle connessione TCP incomplete. Un malintenzionato in grado di connettersi a un servizio di ascolto di un dispositivo iOS potrebbe esaurire le risorse di sistema.

    ID CVE

    CVE-2011-3259 : Wouter van der Veer di Topicus I&I e Josh Enders

  • Apple TV

    Disponibile per: Apple TV da 4.0 a 4.3

    Impatto: un malintenzionato con posizione di rete privilegiata può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

    Descrizione: overflow del buffer di heap a un byte esistente nella gestione dei dati XML da parte di libxml.

    ID CVE

    CVE-2011-0216 : Billy Rios del Google Security Team

  • Apple TV

    Disponibile per: Apple TV da 4.0 a 4.3

    Impatto: un malintenzionato con posizione di rete privilegiata può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

    Descrizione: si è verificato un problema di corruzione della memoria in JavaScriptCore.

    ID CVE

    CVE-2011-3232: Aki Helin di OUSPG

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica:
Utile?

Informazioni aggiuntive di supporto al prodotto

Italia (Italiano)