Apple TV 7'nin güvenlik içeriği hakkında
Bu belgede Apple TV 7'nin güvenlik içeriğini açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
Apple TV 7
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Bir saldırgan, Wi-Fi kimlik bilgilerini ele geçirebilir
Açıklama: Bir saldırgan, bir Wi-Fi erişim noktasını taklit ederek kimlik doğrulamasının LEAP ile yapılmasını teklif etmiş, MS-CHAPv1 karmasını kırmış ve erişim noktası daha güçlü kimlik doğrulama yöntemlerini destekliyor olsa bile hedef aldığı erişim noktasının kimlik doğrulamasında, ele geçirdiği kimlik bilgilerini kullanmış olabilir. Bu sorun LEAP desteği kaldırılarak giderildi.
CVE Kimliği
CVE-2014-4364: Hasselt Üniversitesinden Pieter Robyns, Bram Bonne, Peter Quax ve Wim Lamotte
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Aygıta erişimi olan bir saldırgan, hassas kullanıcı bilgilerine günlüklerden erişebilir
Açıklama: Hassas kullanıcı bilgileri günlüğe kaydediliyordu. Bu sorun daha az bilgi kaydedilerek giderildi.
CVE Kimliği
CVE-2014-4357: OP-Pohjola Group'tan Heli Myllykoski
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Ağda ayrıcalıklı bir konuma sahip saldırgan, bir aygıtın güncel olmadığı halde güncel olduğunu sanmasına yol açabilir
Açıklama: Güncelleme denetimi yanıtlarının işlenmesinde bir doğrulama sorunu vardı. Ardışık güncelleme taleplerinde "Şu Tarihten İtibaren Değiştirilmişse" denetimleri için "Son Değişiklik Tarihi" yanıt başlıklarında gelecek tarihlere ayarlı sahte tarihler kullanılıyordu. Bu sorun, Son Değiştirilme Tarihi başlığının doğrulanmasıyla giderildi.
CVE Kimliği
CVE-2014-4383: DinoSec'ten Raul Siles
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir
Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4377: Binamuse VRT'den Felipe Andres Manzano (iSIGHT Partners GVP Program ile)
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya bilgilerin açığa çıkmasına neden olabilir
Açıklama: PDF dosyalarının işlenmesinde sınırların dışında bellek okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4378: Binamuse VRT'den Felipe Andres Manzano (iSIGHT Partners GVP Program ile)
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleriEtki: Bir uygulama sistemin beklenmeyen biçimde sonlanmasına yol açabilirAçıklama: IOAcceleratorFamily API bağımsız değişkenlerinin işlenmesinde bir null işaretçi dereferansı vardı. Bu sorun IOAcceleratorFamily API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.CVE Kimliği CVE-2014-4369: Alibaba Mobile Security Team'den Sarah (winocm) ve Cererdlong
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Aygıt beklenmedik biçimde yeniden başlatılabilir
Açıklama: IntelAccelerator sürücüsünde bir NULL işaretçi dereferansı vardı. Hatanın işlenmesi iyileştirilerek sorun giderildi.
CVE Kimliği
CVE-2014-4373: Adlab of Venustech'ten cunzhang
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, çekirdek adresinin rastgele adres alanı düzenini atlamak için kullanılabilen çekirdek işaretçilerini okuyabilir
Açıklama: Bir IOHIDFamily işlevinin işlenmesinde, sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4379: Google Project Zero'dan Ian Beer
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde yığın arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4404: Google Project Zero'dan Ian Beer
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde null işaretçi dereferansı vardı. Bu sorun, IOHIDFamily anahtar eşleşme özellikleri doğrulamasının geliştirilmesiyle giderildi.
CVE Kimliği
CVE-2014-4405: Google Project Zero'dan Ian Beer
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily çekirdek uzantısında, sınırların dışında yazma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4380: Adlab of Venustech'ten cunzhang
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, çekirdek belleğinden ilklendirilmemiş verileri okuyabilir
Açıklama: IOKit işlevlerinin işlenmesinde ilklendirilmemiş bellek erişimi sorunu vardı. Bellek ilklendirme iyileştirilerek bu sorun giderildi
CVE Kimliği
CVE-2014-4407: @PanguTeam
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4418: Google Project Zero'dan Ian Beer
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOKit işlevlerinin işlenmesinde bir tam sayı taşması sorunu vardı. Bu sorun IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.
CVE-ID
CVE-2014-4389 : Google Project Zero'dan Ian Beer
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Yerel bir kullanıcı, çekirdek belleği düzenini belirleyebilir
Açıklama: Ağ istatistikleri arabiriminde, çekirdek belleği içeriğinin açığa çıkmasına neden olan birden fazla ilklendirilmemiş bellek sorunu vardı. Bu sorun ek bellek ilklendirmeyle giderildi.
CVE-ID
CVE-2014-4371 : Google Security Team'den Fermin J. Serna
CVE-2014-4419 : Google Security Team'den Fermin J. Serna
CVE-2014-4420 : Google Security Team'den Fermin J. Serna
CVE-2014-4421 : Google Security Team'den Fermin J. Serna
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Ayrıcalıklı ağ konumuna sahip bir kişi, servis reddine neden olabilir
Açıklama: IPv6 paketlerinin işlenmesinde bir yarış durumu sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: Mach bağlantı noktalarının işlenmesinde bir çift serbest bırakma sorunu vardı. Mach bağlantı noktaları doğrulamasının iyileştirilmesiyle bu sorun giderildi.
CVE Kimliği
CVE-2014-4375
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: rt_setgate'de sınırların dışında okuma sorunu vardı. Bu sorun, bellek bilgilerinin açığa çıkmasına veya bellek bozulmasına yol açabilir. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4408
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Bazı çekirdek güçlendirici önlemleri atlanabilir
Açıklama: Bazı çekirdek güçlendirici önlemlerinde kullanılan "eski" rastgele sayı oluşturucu, şifreleme açısından güvenli değildi ve bu rastgele sayı oluşturucuya ait bazı çıktılar kullanıcı alanına sızarak güçlendirici önlemlerin atlanmasına izin veriyordu. Bu sorun, rastgele sayı oluşturucu şifreleme açısından güvenli bir algoritmayla değiştirilerek ve 16 baytlık kök kullanılarak giderildi.
CVE Kimliği
CVE-2014-4422: Azimuth Security'den Tarjei Mandt
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Libnotify'da sınırların dışında yazma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4381: Google Project Zero'dan Ian Beer
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Yerel bir kullanıcı rastgele dosyalarda izinleri değiştirebilir
Açıklama: Dosyalardaki izinler değiştirilirken syslogd, sembolik bağlantıları izliyordu. Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4372: Georgia Tech Information Security Center'dan (GTISC) Tielei Wang ve YeongJin Jang
Apple TV
İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri
Etki: Ağda ayrıcalıklı konuma sahip bir saldırgan, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE Kimliği
CVE-2013-6663: OUSPG'den Atte Kettunen
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Google'dan Eric Seidel
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.