Om sikkerhetsinnholdet i Apple TV 6.1.1

Dette dokumentet beskriver sikkerhetsinnholdet i Apple TV 6.1.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Apple TV 6.1.1

  • Apple TV

    Tilgjengelig for: Apple TV 2. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksplassering kan få nettstedsakkreditiver

    Beskrivelse: Set-Cookie HTTP-overskrifter ville bli behandlet selv om forbindelsen ble avsluttet før overskriftslinjen ble fullført. En angriper kunne strippe sikkerhetsinnstillinger fra informasjonskapselen ved å tvinge forbindelsen til å avslutte før sikkerhetsinnstillingene ble sendt, og så få verdien til den ubeskyttede kapselen. Dette problemet ble løst ved å ignorere ufullstendige HTTP-overskriftslinjer.

    CVE-ID

    CVE-2014-1296: Antoine Delignat-Lavaud i Prosecco ved Inria Paris

  • Apple TV

    Tilgjengelig for: Apple TV 2. generasjon og nyere

    Virkning: En lokal bruker kan lese kjernepekere, som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: Et sett med kjernepekere som var lagret i et IOKit-objekt, kunne hentes fra userland. Dette problemet ble løst ved å fjerne pekerne fra objektet.

    CVE-ID

    CVE-2014-1320: Ian Beer ved Google Project Zero som arbeider med HPs Zero Day Initiative

  • Apple TV

    Tilgjengelig for: Apple TV 2. generasjon og nyere

    Virkning: En angriper med nettverksplassering med prioritet kan fange data eller endre oppgaver utført i sesjoner beskyttet av SSL

    Beskrivelse: Ved «treveis håndtrykk»-angrep var det mulig for en angriper å opprette to forbindelser med samme krypteringsnøkler og håndtrykk, sette inn angriperens data i én forbindelse og forhandle på nytt, slik at forbindelsene kunne videresendes til hverandre. For å unngå angrep på grunnlag av dette scenarioet ble Secure Transport endret, slik at en ny forhandling som standard må vise samme tjenersertifikat som ved den opprinnelige tilkoblingen.

    CVE-ID

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan og Alfredo Pironti i Prosecco ved Inria Paris

  • Apple TV

    Tilgjengelig for: Apple TV 2. generasjon og nyere

    Virkning: En angriper med privilegert nettverksstilling kan forårsake at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2013-2871: miaubiz

    CVE-2014-1298: Google Chrome Security Team

    CVE-2014-1299: Google Chrome Security Team, Apple, Renata Hodovan ved universitetet i Szeged / Samsung Electronics

    CVE-2014-1300: Ian Beer ved Google Project Zero som arbeider med HPs Zero Day Initiative

    CVE-2014-1302: Google Chrome Security Team, Apple

    CVE-2014-1303: KeenTeam som arbeider med HPs Zero Day Initiative

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: Google Chrome Security Team

    CVE-2014-1308: Google Chrome Security Team

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: Google Chrome Security Team

    CVE-2014-1311: Google Chrome Security Team

    CVE-2014-1312: Google Chrome Security Team

    CVE-2014-1313: Google Chrome Security Team

    CVE-2014-1713: VUPEN som arbeider med HPs Zero Day Initiative

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: