Tietoja Apple TV 2.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Apple TV 2.1:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Apple TV 2.1

Apple TV

CVE-ID: CVE-2008-1015

Saatavuus: Apple TV

Vaikutus: haitallisen elokuvatiedoston tarkasteleminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: Datareferenssiatomien käsittelyongelma saattoi johtaa puskurin ylivuotoon. Haitallisen elokuvatiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Päivitys ratkaisee ongelman suorittamalla datareferenssiatomien lisätarkistuksen. Kiitos Chris Riesille (Carnegie Mellon University Computing Services) tämän ongelman ilmoittamisesta.

Apple TV

CVE-ID: CVE-2008-1017

Saatavuus: Apple TV

Vaikutus: haitallisen elokuvatiedoston tarkasteleminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: crgn-atomien jäsentämisongelma saattoi johtaa kekopuskurin ylivuotoon. Haitallisen elokuvatiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Päivitys ratkaisee ongelman parantamalla rajojen tarkistusta. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle Sanbin Lille tämän ongelman ilmoittamisesta.

Apple TV

CVE-ID: CVE-2008-1018

Saatavuus: Apple TV

Vaikutus: haitallisen elokuvatiedoston tarkasteleminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: chan-atomien jäsentämisongelma saattoi johtaa kekopuskurin ylivuotoon. Haitallisen elokuvatiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Päivitys ratkaisee ongelman parantamalla rajojen tarkistusta. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle nimettömälle tutkijalle tämän ongelman ilmoittamisesta.

Apple TV

CVE-ID: CVE-2008-1585

Saatavuus: Apple TV

Vaikutus: Haitallisen QuickTime-sisällön toistaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: URL-tiedostojen käsittelyssä oli URL-osoitteiden käsittelyongelma. Tämä saattoi sallia mielivaltaisten appien ja tiedostojen käynnistymisen, kun käyttäjä toisti haitallista QuickTime-sisältöä. Tämä päivitys korjaa ongelman siten, että paikallisia appeja ja tiedostoja ei enää käynnistetä. Kiitos Vinoo Thomasille ja Rahul Mohandalle (McAfee Avert Labs) ja Petko D. (pdp) Petkoville (GNUCITIZEN), jotka työskentelevät TippingPointin Zero Day Initiativen parissa, tämän ongelman ilmoittamisesta.

Apple TV

CVE-ID: CVE-2008-0234

Saatavuus: Apple TV

Vaikutus: Haitallisen QuickTime-sisällön käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: HTTP-vastausten käsittelyssä oli kekopuskurin ylivuoto, kun RTSP-tunnelointi oli käytössä. Vaikutus: Haitallisen QuickTime-sisällön toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Päivitys ratkaisee ongelman parantamalla rajojen tarkistusta.

Apple TV

CVE-ID: CVE-2008-0036

Saatavuus: Apple TV

Vaikutus: haitallisen PICT-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Pakattua PICT-kuvaa käsiteltäessä saattoi ilmetä puskurin ylivuoto. Vaikutus: Haitallisen pakatun PICT-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Päivitys ratkaisee ongelman parantamalla rajojen tarkistusta. Kiitos Chris Riesille (Carnegie Mellon University Computing Services) tämän ongelman ilmoittamisesta.