Over de beveiligingsinhoud van Apple TV 7.0.3
In dit document wordt de beveiligingsinhoud van Apple TV 7.0.3 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruikt je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates
Apple TV 7.0.3
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: een kwaadwillig vervaardigde afc-opdracht kan toegang geven tot beschermde onderdelen van het bestandssysteem
Beschrijving: er zat een beveiligingslek in het symbolische koppelmechanisme van afc. Dit probleem is verholpen door extra padcontroles toe te voegen.
CVE-ID
CVE-2014-4480: TaiG Jailbreak Team
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er trad een integeroverloop op bij de verwerking van pdf-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4481 : Felipe Andres Manzano van de Binamuse VRT, via het iSIGHT Partners GVP Program
Apple TV
CVE-ID
Impact: A local user may be able to execute unsigned code
Description: A state management issue existed in the handling of Mach-O executable files with overlapping segments. This issue was addressed through improved validation of segment sizes
CVE-ID
CVE-2014-4455 : TaiG Jailbreak Team
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er trad een bufferoverloop op bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4483: Apple
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd .dfont-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er trad een probleem op met geheugenbeschadiging bij de verwerking van .dfont-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4484: Gaurav Baruah in samenwerking met het Zero Day Initiative van HP
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: het bekijken van een kwaadwillig vervaardigd XML-bestand kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er trad een bufferoverloop op in de XML-parser. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4485: Apple
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een null pointer-dereferentie bij de verwerking van bronnenlijsten door IOAcceleratorFamily. Dit probleem is verholpen door onnodige code te verwijderen.
CVE-ID
CVE-2014-4486: Ian Beer van Google Project Zero
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er trad een bufferoverloop op in IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van de grootte.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er trad een validatieprobleem op bij de verwerking van metagegevens in de bronwachtrij door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van metadata.
CVE-ID
CVE-2014-4488: Apple
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een null pointer-dereferentie bij de verwerking van evenementenwachtrijen door IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde validatie.
CVE-ID
CVE-2014-4489: @beist
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: kwaadwillig vervaardigde of gemanipuleerde iOS-apps kunnen mogelijk adressen in de kernel bepalen
Beschrijving: er was een probleem met het vrijgeven van informatie bij de verwerking van API’s met betrekking tot kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er trad een probleem op in het subsysteem voor gedeeld kernelgeheugen waardoor een aanvaller naar het geheugen kon schrijven dat bedoeld was om alleen-lezen te zijn. Dit probleem is verholpen door een striktere controle van bevoegdheden voor gedeelde geheugens.
CVE-ID
CVE-2014-4495: Ian Beer van Google Project Zero
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: kwaadwillig vervaardigde of gehackte iOS-apps kunnen mogelijk adressen in de kernel bepalen
Beschrijving: de mach_port_kobject-kernelinterface heeft kerneladressen en heap-permutatiewaarden gelekt, wat kan helpen bij het omzeilen van de randomisatiebescherming voor de indeling van adresruimte. Dit is verholpen door de mach_port_kobject-interface uit te schakelen in productieconfiguraties.
CVE-ID
CVE-2014-4496: TaiG Jailbreak Team
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: een kwaadaardige, sandboxed app kan de networkd daemon in gevaar brengen
Beschrijving: er traden meerdere soorten verwarringsproblemen op bij de verwerking van interprocescommunicatie door networkd. Door een kwaadwillig opgemaakt bericht naar networkd te sturen, kan willekeurige code worden uitgevoerd als het networkd-proces. Het probleem is verholpen door een extra controle van het type.
CVE-ID
CVE-2014-4492: Ian Beer van Google Project Zero
Apple TV
Beschikbaar voor: Apple TV 3e generatie en nieuwer
Impact: opmaakmodellen worden cross-origin geladen, wat gegevensexfiltratie mogelijk maakt
Beschrijving: een SVG die in een img-element is geladen, kan een CSS-bestand cross-origin laden. Dit probleem is verholpen door een verbeterde blokkering van externe CSS-referenties in SVG’s.
CVE-ID
CVE-2014-4465: Rennie deGraaf van iSEC Partners
Apple TV
Beschrijving voor: Apple TV 3e generatie of nieuwer
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP
CVE-2014-4479: Apple
Apple TV
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: de Kerberos libgssapi-bibliotheek heeft een contexttoken met een gevaarlijke pointer geretourneerd. Dit probleem is verholpen door verbeterd statusbeheer.
CVE-ID
CVE-2014-5352
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.