Over de beveiligingsinhoud van Apple TV-software 4.4
In dit document wordt de beveiligingsinhoud van Apple TV-software 4.4 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.
Apple TV-software-update 4.4
Apple TV
Beschikbaar voor: Apple TV 4.0 tot en met 4.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan gebruikersreferenties of andere gevoelige gegevens onderscheppen
Beschrijving: er zijn frauduleuze certificaten uitgegeven door meerdere certificaatautoriteiten die door DigiNotar werden beheerd. Dit probleem is verholpen door DigiNotar te verwijderen uit de lijst met vertrouwde rootcertificaten en de lijst met certificaatautoriteiten voor EV (Extended Validation) en door de standaardvertrouwensinstellingen voor systemen zo te configureren dat certificaten van DigiNotar, inclusief certificaten uitgegeven door andere autoriteiten, niet meer worden vertrouwd.
Apple TV
Beschikbaar voor: Apple TV 4.0 tot en met 4.3
Impact: ondersteuning voor X.509-certificaten met MD5-hashes kan gebruikers blootstellen aan spoofing en openbaarmaking van informatie naarmate de aanvallen verbeteren
Beschrijving: certificaten die zijn ondertekend met het MD5-hash-algoritme werden geaccepteerd door iOS. Dit algoritme heeft bekende cryptografische kwetsbaarheden. Door verder onderzoek of een verkeerd geconfigureerde certificaatautoriteit was het mogelijk geweest om X.509 certificaten te maken met door aanvallers beheerde waarden die door het systeem vertrouwd zouden worden. Dit zou op X.509-gebaseerde protocollen hebben blootgesteld aan spoofing, man-in-the-middle-aanvallen en openbaarmaking van informatie. Deze update schakelt ondersteuning voor een X.509-certificaat met een MD5-hash uit voor elk ander gebruik dan als een vertrouwd rootcertificaat.
CVE-ID
CVE-2011-3427
Apple TV
Beschikbaar voor: Apple TV 4.0 tot en met 4.3
Impact: een aanvaller kon een deel van een SSL-verbinding ontsleutelen
Beschrijving: alleen de versies SSLv3 en TLS 1.0 van SSL werden ondersteund. Deze versies zijn onderhevig aan een protocolzwakte bij het gebruik van blokcoderingen. Een man-in-the-middle-aanvaller had ongeldige gegevens kunnen injecteren, waardoor de verbinding werd afgesloten maar er wel bepaalde informatie over de vorige gegevens werd vrijgegeven. Als herhaaldelijk werd geprobeerd om dezelfde verbinding tot stand te brengen, kon de aanvaller mogelijk een deel van de verzonden gegevens, zoals een wachtwoord, ontsleutelen. Het probleem is opgelost door ondersteuning toe te voegen voor TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
Beschikbaar voor: Apple TV 4.0 tot en met 4.3
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er was sprake van een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-bestanden door libTIFF.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Beschikbaar voor: Apple TV 4.0 tot en met 4.3
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er was sprake van een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-afbeeldingen door ImageIO.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX van Tessi Technologies
Apple TV
Beschikbaar voor: Apple TV 4.0 tot en met 4.3
Impact: een externe aanvaller kan het apparaat opnieuw instellen
Beschrijving: de kernel slaagde er niet in om geheugen vrij te maken van onvolledige TCP-verbindingen. Een aanvaller die verbinding kan maken met een luistervoorziening op een iOS-apparaat, kan systeembronnen uitputten.
CVE-ID
CVE-2011-3259: Wouter van der Veer van Topicus I&I, en Josh Enders
Apple TV
Beschrijving voor: Apple TV 4.0 tot en met 4.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was sprake van overloop van een 1-byte heapbuffer bij de verwerking van XML-gegevens door libxml.
CVE-ID
CVE-2011-0216: Billy Rios van het Google Security Team
Apple TV
Beschrijving voor: Apple TV 4.0 tot en met 4.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was sprake van een probleem met geheugenbeschadiging in JavaScriptCore.
CVE-ID
CVE-2011-3232: Aki Helin van OUSPG
Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.