Langues

Archived - À propos du contenu sécuritaire de la mise à jour 4.4 du logiciel de l’Apple TV

Ce document décrit le contenu sécuritaire de la mise à jour 4.4 du logiciel de l’Apple TV.

Cet article a été archivé et ne sera plus mis à jour par Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article intitulé Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Mise à jour 4.4 du logiciel de l’Apple TV

  • Apple TV

    Disponible pour : Apple TV 4.0 à 4.3

    Conséquence : un pirate possédant une position privilégiée sur le réseau risque d’intercepter les informations d’identification de l’utilisateur ou d’autres données sensibles.

    Description : des certificats frauduleux ont été créés par plusieurs autorités de certification gérées par DigiNotar. Ce problème peut être résolu en deux étapes. Supprimez d’abord DigiNotar de la liste des certificats racines fiables, qui se trouve elle-même dans la liste des autorités de certification de validation étendue. Configurez ensuite les réglages de confiance par défaut du système de manière à ce que les certificats DigiNotar, y compris ceux créés par d’autres autorités, ne soient plus considérés comme dignes de confiance.

  • Apple TV

    Disponible pour : Apple TV 4.0 à 4.3

    Conséquence : la compatibilité des certificats X.509 avec les hachages MD5 peut exposer les utilisateurs à un acte malveillant et une divulgation d’informations alors que les attaques s’améliorent.

    Description : les certificats signés à l’aide de l’algorithme de hachage MD5 ont été acceptés par iOS. Cet algorithme présente des faiblesses connues en termes de cryptographie. Des recherches complémentaires ou une autorité de certification mal configurée peuvent conduire à la création de certificats X.509 contenant des valeurs contrôlées par le pirate que le système juge dignes de confiance. Les protocoles X.509 peuvent subir un acte malveillant, une attaque de l’homme du milieu et une divulgation d’informations. Cette mise à jour désactive la prise en charge d’un certificat X.509 avec hachage MD5 pour toute utilisation autre que comme certificat racine de confiance.

    Référence CVE

    CVE-2011-3427

  • Apple TV

    Disponible pour : Apple TV 4.0 à 4.3

    Conséquence : un pirate pourrait déchiffrer une partie d’une connexion SSL.

    Description : seules les versions SSLv3 et TLS 1.0 de SSL étaient prises en charge. Ces versions présentent une faiblesse au niveau du protocole en cas d’utilisation du chiffrement par blocs. Un pirate de type « homme du milieu » pourrait injecter des données non valides, provoquant ainsi la fermeture de la connexion mais en révélant des informations sur les données précédentes. Si l’utilisateur a tenté d’établir la même connexion à plusieurs reprises, il est possible que le pirate soit parvenu à déchiffrer les données envoyées (mot de passe, par exemple). Ce problème est résolu par l’ajout de la prise en charge de TLS 1.2.

    Référence CVE

    CVE-2011-3389

  • Apple TV

    Disponible pour : Apple TV 4.0 à 4.3

    Conséquence : l’affichage d’une image TIFF malveillante peut entraîner un blocage inattendu des applications l’exécution arbitraire de code.

    Description : la gestion par libTIFF des images TIFF encodées en CCITT Groupe 4 présente un dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-0192 : Apple

  • Apple TV

    Disponible pour : Apple TV 4.0 à 4.3

    Conséquence : l’affichage d’une image TIFF construite de manière malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : la gestion par ImageIO des images TIFF encodées en CCITT Groupe 4 présente un dépassement de la mémoire tampon.

    Référence CVE

    CVE-2011-0241 : Cyril CATTIAUX de Tessi Technologies

  • Apple TV

    Disponible pour : Apple TV 4.0 à 4.3

    Conséquence : un pirate distant peut provoquer une réinitialisation de l’appareil.

    Description : le noyau ne parvient pas à récupérer rapidement la mémoire utilisée par des connexions TCP incomplètes. Un pirate à même de se connecter à un service d’écoute sur un appareil iOS risque d’épuiser les ressources du système.

    Référence CVE

    CVE-2011-3259 : Wouter van der Veer of Topicus I&I et Josh Enders

  • Apple TV

    Disponible pour : Apple TV 4.0 à 4.3

    Conséquence : un pirate occupant une position privilégiée sur le réseau risque de provoquer une fermeture d’application inopinée ou l’exécution arbitraire d’un code.

    Description : la gestion de données XML par libxml présente un dépassement de tas d’un octet.

    Référence CVE

    CVE-2011-0216 : Billy Rios de l’équipe de sécurité Google

  • Apple TV

    Disponible pour : Apple TV 4.0 à 4.3

    Conséquence : un pirate occupant une position privilégiée sur le réseau risque de provoquer une fermeture d’application inopinée ou l’exécution arbitraire d’un code.

    Description : il existait un problème de corruption de la mémoire dans JavaScriptCore.

    Référence CVE

    CVE-2011-3232 : Aki Helin d’OUSPG

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 7 avr. 2014
Avez-vous trouvé cet article utile ?
Oui
Non
  • Last Modified: 7 avr. 2014
  • Article: HT5001
  • Views:

    965
  • Rating:
    • 100.0

    (1 réponses)

Informations supplémentaires relatives à l’assistance produit