Over de beveiligingsinhoud van Apple TV 7.0.3

In dit document wordt de beveiligingsinhoud van Apple TV 7.0.3 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruikt je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates

Apple TV 7.0.3

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: een kwaadwillig vervaardigde afc-opdracht kan toegang geven tot beschermde onderdelen van het bestandssysteem

    Beschrijving: er zat een beveiligingslek in het symbolische koppelmechanisme van afc. Dit probleem is verholpen door extra padcontroles toe te voegen.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er trad een integeroverloop op bij de verwerking van pdf-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4481 : Felipe Andres Manzano van de Binamuse VRT, via het iSIGHT Partners GVP Program

  • Apple TV

    CVE-ID

    Impact: A local user may be able to execute unsigned code

    Description: A state management issue existed in the handling of Mach-O executable files with overlapping segments. This issue was addressed through improved validation of segment sizes

    CVE-ID

    CVE-2014-4455 : TaiG Jailbreak Team

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er trad een bufferoverloop op bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4483: Apple

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: het verwerken van een kwaadwillig vervaardigd .dfont-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er trad een probleem op met geheugenbeschadiging bij de verwerking van .dfont-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah in samenwerking met het Zero Day Initiative van HP

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: het bekijken van een kwaadwillig vervaardigd XML-bestand kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er trad een bufferoverloop op in de XML-parser. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4485: Apple

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van bronnenlijsten door IOAcceleratorFamily. Dit probleem is verholpen door onnodige code te verwijderen.

    CVE-ID

    CVE-2014-4486: Ian Beer van Google Project Zero

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er trad een bufferoverloop op in IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van de grootte.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er trad een validatieprobleem op bij de verwerking van metagegevens in de bronwachtrij door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van metadata.

    CVE-ID

    CVE-2014-4488: Apple

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van evenementenwachtrijen door IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2014-4489: @beist

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: kwaadwillig vervaardigde of gemanipuleerde iOS-apps kunnen mogelijk adressen in de kernel bepalen

    Beschrijving: er was een probleem met het vrijgeven van informatie bij de verwerking van API’s met betrekking tot kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er trad een probleem op in het subsysteem voor gedeeld kernelgeheugen waardoor een aanvaller naar het geheugen kon schrijven dat bedoeld was om alleen-lezen te zijn. Dit probleem is verholpen door een striktere controle van bevoegdheden voor gedeelde geheugens.

    CVE-ID

    CVE-2014-4495: Ian Beer van Google Project Zero

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: kwaadwillig vervaardigde of gehackte iOS-apps kunnen mogelijk adressen in de kernel bepalen

    Beschrijving: de mach_port_kobject-kernelinterface heeft kerneladressen en heap-permutatiewaarden gelekt, wat kan helpen bij het omzeilen van de randomisatiebescherming voor de indeling van adresruimte. Dit is verholpen door de mach_port_kobject-interface uit te schakelen in productieconfiguraties.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: een kwaadaardige, sandboxed app kan de networkd daemon in gevaar brengen

    Beschrijving: er traden meerdere soorten verwarringsproblemen op bij de verwerking van interprocescommunicatie door networkd. Door een kwaadwillig opgemaakt bericht naar networkd te sturen, kan willekeurige code worden uitgevoerd als het networkd-proces. Het probleem is verholpen door een extra controle van het type.

    CVE-ID

    CVE-2014-4492: Ian Beer van Google Project Zero

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en nieuwer

    Impact: opmaakmodellen worden cross-origin geladen, wat gegevensexfiltratie mogelijk maakt

    Beschrijving: een SVG die in een img-element is geladen, kan een CSS-bestand cross-origin laden. Dit probleem is verholpen door een verbeterde blokkering van externe CSS-referenties in SVG’s.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf van iSEC Partners

  • Apple TV

    Beschrijving voor: Apple TV 3e generatie of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP

    CVE-2014-4479: Apple

  • Apple TV

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: de Kerberos libgssapi-bibliotheek heeft een contexttoken met een gevaarlijke pointer geretourneerd. Dit probleem is verholpen door verbeterd statusbeheer.

    CVE-ID

    CVE-2014-5352

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: