Om sikkerhetsinnholdet i Apple TV-programvareoppdatering 4.4

Dette dokumentet beskriver sikkerhetsinnholdet i Apple TV-programvareoppdatering 4.4.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Hvis du vil ha mer informasjon om andre sikkerhetsoppdateringer, går du til «Sikkerhetsoppdateringer fra Apple.

Apple TV-programvareoppdatering 4.4

  • Apple TV

    Tilgjengelig for Apple TV 4.0 til og med 4.3

    Virkning: En angriper i en privilegert nettverksposisjon kan avskjære brukerlegitimasjon eller annen sensitiv informasjon

    Beskrivelse: Falske sertifikater ble utstedt av flere sertifikatmyndigheter som drives av DigiNotar. Dette problemet løses ved å fjerne DigiNotar fra listen av klarerte rotsertifikater og listen av sertifikatautoriteter for utvidet validering samt ved å konfigurere systemets standardinnstillinger for klarering, slik at DigiNotars sertifikater, inkludert de som utstedes av andre autoriteter, ikke blir klarert.

  • Apple TV

    Tilgjengelig for Apple TV 4.0 til og med 4.3

    Virkning: Støtte for X.509-sertifikater med MD5-hasher kan utsette brukere for forfalskning og informasjonsavsløring etter hvert som angrepene blir bedre

    Beskrivelse: iOS godtok sertifikater som er signert med MD5-hashalgorithmen. Denne algoritmen har kjente kryptografiske svakheter. Videre forskning eller en feilkonfigurert sertifikatmyndighet kunne ha muliggjort oppretting av X.509-sertifikater med angriperstyrte verdier som systemet ville ha klarert. Dette hadde utsatt X.509-baserte protokoller for forfalskning, man-in-the-middle-angrep og informasjonsavsløring. Denne oppdateringen deaktiverer støtte for X.509-sertifikater med MD5-hasher for alle andre formål enn som klarerte rotsertifikater.

    CVE-ID

    CVE-2011-3427

  • Apple TV

    Tilgjengelig for Apple TV 4.0 til og med 4.3

    Virkning: En angriper kunne dekryptere deler av SSL-tilkoblinger

    Beskrivelse: Bare SSLv3- og TLS 1.0-versjonene av SSL var støttet. Disse versjonene er sårbare for en protokollsvakhet når blokkchifre brukes. En man-in-the-middle-angriper kunne ha injisert ugyldige data, noe som ville ha lukket tilkoblingen, men samtidig avslørt noe informasjon om de foregående dataene. Hvis den samme tilkoblingen hadde blitt forsøkt gjentatte ganger, kunne angriperen etter hvert ha klart å dekryptere dataene som ble sendt, for eksempel et passord. Dette problemet er løst ved at det er lagt til støtte for TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    Tilgjengelig for Apple TV 4.0 til og med 4.3

    Virkning: Visning av et skadelig TIFF-bilde kan medføre uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var en bufferoverflyt i håndteringen av CCITT Group 4-kodede TIFF-bilder i libTIFF.

    CVE-ID

    CVE-2011-0192 : Apple

  • Apple TV

    Tilgjengelig for Apple TV 4.0 til og med 4.3

    Virkning: Visning av et skadelig TIFF-bilde kan medføre uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var en heap-bufferoverflyt i håndteringen av CCITT Group 4-kodede TIFF-bilder i ImageIO.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX fra Tessi Technologies

  • Apple TV

    Tilgjengelig for Apple TV 4.0 til og med 4.3

    Virkning: En ekstern angriper kan forårsake tilbakestilling av enheten

    Beskrivelse: Kjernen klarte ikke å gjenvinne minnet fra ufullstendige TCP-tilkoblinger omgående. En angriper med evne til å koble til en lyttetjeneste på en iOS-enhet kunne uttømme systemets ressurser.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer fra Topicus I&I og Josh Enders

  • Apple TV

    Tilgjengelig for Apple TV 4.0 til og med 4.3

    Virkning: En angriper i en privilegert nettverksposisjon kan forårsake uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var en heap-bufferoverflyt på én byte i håndteringen av XML-data i libxml.

    CVE-ID

    CVE-2011-0216: Billy Rios fra Google Security Team

  • Apple TV

    Tilgjengelig for Apple TV 4.0 til og med 4.3

    Virkning: En angriper i en privilegert nettverksposisjon kan forårsake uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med minnekorrumpering i JavaScriptCore.

    CVE-ID

    CVE-2011-3232: Aki Helin fra OUSPG

Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: