Tietoja Apple TV 7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Apple TV 7:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Apple TV 7

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: hyökkääjä saattoi pystyä saamaan Wi‑Fi-tunnistetiedot.

    Kuvaus: Hyökkääjä saattoi esiintyä Wi‑Fi-yhteyspisteenä, tarjota LEAP-todentamista, rikkoa MS‑CHAPv1-protokollan ja käyttää saamiaan tunnistetietoja haluttuun yhteyspisteeseen todentautumisessa, vaikka yhteyspiste tuki vahvempia todentamismenetelmiä. Ongelma on ratkaistu poistamalla LEAP-tuki.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte (Universiteit Hasselt)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: hyökkääjä, jolla oli pääsy laitteeseen, saattoi päästä käsiksi arkaluonteisiin käyttäjätietoihin lokeista.

    Kuvaus: Arkaluonteiset käyttäjätiedot kirjattiin lokiin. Ongelma on ratkaistu kirjaamalla lokiin vähemmän tietoja.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski (OP-Pohjola Group)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä saamaan laitteen luulemaan, että se on päivitetty, vaikka se ei ollut.

    Kuvaus: Päivitystarkistusvastauksien käsittelyssä oli tarkistusongelma. Tuleviin ajankohtiin asetettujen Last-Modified-vastausotsakkeiden väärennettyjä päivämääriä käytettiin If-Modified-Since-tarkistuksiin seuraavissa päivityspyynnöissä. Ongelma on ratkaistu tarkistamalla Last-Modified-otsake.

    CVE-ID

    CVE-2014-4383: Raul Siles (DinoSec)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai tietojen paljastumisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat) Vaikutus: appi saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen. Kuvaus: IOAcceleratorFamilyn API-argumenttien käsittelyssä oli nollaosoittimen epäviittaus. Ongelma on ratkaistu parantamalla IOAcceleratorFamilyn API-argumenttien tarkistusta. CVE-ID CVE-2014-4369: Sarah eli winocm sekä Cererdlong (Alibaba Mobile Security Team)

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry added February 3, 2020

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: laite saattoi käynnistyä uudelleen odottamatta.

    Kuvaus: IntelAccelerator-ajurissa oli nollaosoittimen epäviittaus. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

    CVE-ID

    CVE-2014-4373: cunzhang (Adlab, Venustech)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä lukemaan kernel-osoittimia, mitä voitiin käyttää ohittamaan kernel-osoitetilan asettelun satunnaistaminen.

    Kuvaus: IOHIDFamily-toiminnon käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittaus. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.

    CVE-ID

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn kernel-laajennuksessa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4380: cunzhang Adlabista (Venustech)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä lukemaan alustamattomia tietoja kernel-muistista.

    Kuvaus: IOKit-toimintojen käsittelyssä oli alustamattomaan muistiin liittyvä käyttöoikeusongelma. Ongelma on ratkaistu parantamalla muistin alustusta.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien tiettyjen metatietokenttien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4418: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien tiettyjen metatietokenttien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOKit-toimintojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla IOKitin API-argumenttien tarkistusta.

    CVE-ID

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Verkkotilastojen käyttöliittymässä oli useita alustamattomaan muistiin liittyviä ongelmia, mikä johti kernel-muistin sisällön paljastamiseen. Ongelma on ratkaistu muistin lisäalustamisella.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna (Google Security Team)

    CVE-2014-4419: Fermin J. Serna (Google Security Team)

    CVE-2014-4420: Fermin J. Serna (Google Security Team)

    CVE-2014-4421: Fermin J. Serna (Google Security Team)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: etuoikeutetussa verkkoasemassa oleva henkilö saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: IPv6-pakettien käsittelyssä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: Mach-porttien käsittelyssä oli double free ‑ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: rt_setgatessa oli rajojen ulkopuolisen muistin lukuongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: jotkut kernelin lisäturvatoimet saattoi pystyä ohittamaan.

    Kuvaus: Joissakin kernelin lisäturvatoimissa käytetty niin sanottu varhainen satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset näkyivät käyttäjätilaan, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu vaihtamalla satunnaislukugeneraattori kryptografisesti turvalliseen algoritmiin ja käyttämällä 16 tavun siemenlukua.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt (Azimuth Security)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: Libnotifyssa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: paikallinen käyttäjä saattoi pystyä muuttamaan tiedostojen käyttöoikeuksia mielivaltaisesti.

    Kuvaus: syslogd seurasi symbolisia linkkejä tiedostojen käyttöoikeuksia muutettaessa. Ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

    CVE-ID

    CVE-2014-4372: Tielei Wang ja YeongJin Jang (Georgia Tech Information Security Center, GTISC)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi ja uudemmat)

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-6663: Atte Kettunen (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel (Google)

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: