Informazioni sui contenuti di sicurezza dell'aggiornamento 4.4 del software di Apple TV
In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento 4.4 del software di Apple TV.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple.
Aggiornamento 4.4 del software di Apple TV
Apple TV
Disponibile per: Apple TV da 4.0 a 4.3
Impatto: un utente malintenzionato con una posizione di rete privilegiata può intercettare le credenziali degli utenti o altre informazioni sensibili.
Descrizione: sono stati emessi certificati fraudolenti da diverse autorità di certificazione gestite da DigiNotar. Questo problema è stato risolto eliminando DigiNotar dall'elenco dei certificati root attendibili, dall'elenco delle autorità di certificazione con convalida estesa e configurando impostazioni predefinite di attendibilità del sistema in modo che i certificati di DigiNotar, compresi quelli emessi da altre autorità, non siano attendibili.
Apple TV
Disponibile per: Apple TV da 4.0 a 4.3
Impatto: con il miglioramento degli attacchi, il supporto per certificati X.509 con hash MD5 può esporre gli utenti a spoofing e alla divulgazione di informazioni.
Descrizione: i certificati firmati con l'algoritmo hash MD5 sono stati accettati da iOS. Questo algoritmo possiede note debolezze crittografiche. Un ulteriore ricerca o un autorità di certificazione configurata in modo errato potrebbero aver permesso la creazione di certificati X.509 con valori controllati da un utente malintenzionato che sarebbero stati giudicati attendibili dal sistema. Ciò avrebbe esposto i protocolli basati su X.509 a spoofing, ad attacchi man-in-the-middle e alla divulgazione di informazioni. Questo aggiornamento disabilita il supporto per un certificato X.509 con hash MD5 per qualsiasi uso diverso da un certificato root attendibile.
CVE-ID
CVE-2011-3427
Apple TV
Disponibile per: Apple TV da 4.0 a 4.3
Impatto: un utente malintenzionato potrebbe decrittografare parte di una connessione SSL.
Descrizione: venivano supportate solo le versioni SSLv3 e TLS 1.0 di SSL. Queste versioni sono soggette a debolezza di protocollo quando si utilizzano crittografie a blocchi. Un utente malintenzionato che porta a termine attacchi man-in-the-middle potrebbe aver inserito dati non validi causando la chiusura della connessione e rivelando alcune informazioni sui dati precedenti. Se la stessa connessione è stata tentata in modo ripetuto, l'utente malintenzionato potrebbe aver infine decrittografato i dati inviati, come una password. Questo problema è stato risolto aggiungendo supporto per TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
Disponibile per: Apple TV da 4.0 a 4.3
Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si è verificato un overflow del buffer nella gestione da parte di libTIFF delle immagini TIFF con codifica CCITT Gruppo 4.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Disponibile per: Apple TV da 4.0 a 4.3
Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si è verificato un overflow del buffer di heap nella gestione da parte di ImageIO delle immagini TIFF con codifica CCITT Gruppo 4.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX di Tessi Technologies
Apple TV
Disponibile per: Apple TV da 4.0 a 4.3
Impatto: un utente malintenzionato collegato in remoto potrebbe causare un ripristino del dispositivo.
Descrizione: il kernel non è riuscito a recuperare tempestivamente la memoria da connessioni TCP incomplete. Un utente malintenzionato con la possibilità di connettersi a un servizio di ascolto su un dispositivo iOS potrebbe esaurire le risorse del sistema.
CVE-ID
CVE-2011-3259: Wouter van der Veer di Topicus I&I e Josh Enders
Apple TV
Disponibile per: Apple TV da 4.0 a 4.3
Impatto: un utente malintenzionato con una posizione di rete privilegiata potrebbe causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.
Descrizione: si è verificato un overflow del buffer di heap di un byte nella gestione dei dati XML da parte di libxml.
CVE-ID
CVE-2011-0216: Billy Rios di Google Security Team
Apple TV
Disponibile per: Apple TV da 4.0 a 4.3
Impatto: un utente malintenzionato con una posizione di rete privilegiata potrebbe causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.
Descrizione: si è verificato un problema di danneggiamento della memoria in JavaScriptCore.
CVE-ID
CVE-2011-3232: Aki Helin di OUSPG
Importante: il riferimento a siti web e prodotti di terze parti ha scopo puramente informativo e non costituisce sponsorizzazione né consiglio. Apple non si assume alcuna responsabilità in relazione alla selezione, alle prestazioni o all'utilizzo di informazioni o prodotti trovati su siti web di terze parti. Apple fornisce questo tipo di informazioni solo per comodità degli utenti. Apple non ha testato le informazioni che si trovano su tali siti e non ne rappresenta in alcun modo l'esattezza e l'affidabilità. Esistono rischi connessi all'utilizzo di informazioni o prodotti trovati su internet e Apple non si assume alcuna responsabilità al riguardo. Ricordiamo che i siti di terze parti sono indipendenti da Apple e che Apple non ha alcun controllo sui contenuti di tali siti web. Per ulteriori informazioni, contatta il fornitore.