Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7.0.3
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7.0.3.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 7.0.3
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwie spreparowane polecenie programu afc może umożliwić dostęp do chronionych części systemu plików.
Opis: mechanizm łączy symbolicznych programu afc zawierał lukę w zabezpieczeniach. Ten problem rozwiązano poprzez wprowadzenie dodatkowych procedur sprawdzania ścieżek.
Identyfikator CVE
CVE-2014-4480: zespół TaiG Jailbreak
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: podczas obsługi plików PDF następowało przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4481: Felipe Andres Manzano z Binamuse VRT, za pośrednictwem iSIGHT Partners GVP Program
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: użytkownik lokalny może być w stanie wykonać niepodpisany kod.
Opis: podczas obsługi plików wykonywalnych Mach-O z nakładającymi się segmentami występował błąd zarządzania stanem. Ten problem rozwiązano poprzez poprawienie procedury sprawdzania poprawności rozmiarów segmentów.
Identyfikator CVE
CVE-2014-4455: zespół TaiG Jailbreak
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: podczas obsługi plików czcionek następowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4483: Apple
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego pliku DFONT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: podczas obsługi plików DFONT występował błąd powodujący uszkodzenie pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4484: Gaurav Baruah w ramach programu Zero Day Initiative firmy HP
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku XML może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w analizatorze składni pliku XML następowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4485: Apple
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: podczas obsługi list zasobów w IOAcceleratorFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez usunięcie niepotrzebnego kodu.
Identyfikator CVE
CVE-2014-4486: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w IOHIDFamily następowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności rozmiaru.
Identyfikator CVE
CVE-2014-4487: TaiG Jailbreak Team
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: podczas obsługi metadanych kolejki zasobów przez IOHIDFamily występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.
Identyfikator CVE
CVE-2014-4488: Apple
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: podczas obsługi kolejek zdarzeń przez IOHIDFamily występowała dereferencja wskaźnika null. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.
Identyfikator CVE
CVE-2014-4489: @beist
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwie spreparowane lub zmodyfikowane aplikacje systemu iOS mogą być w stanie określić adresy w jądrze.
Opis: podczas obsługi interfejsów API związanych z rozszerzeniami jądra występował błąd powodujący ujawnianie informacji. Odpowiedzi zawierające klucz OSBundleMachOHeaders mogą zawierać adresy jądra, co może ułatwić ominięcie ochrony polegającej na losowym wybieraniu układu przestrzeni adresowej. Ten błąd naprawiono przez cofnięcie przesunięcia adresów przed zwróceniem ich.
Identyfikator CVE
CVE-2014-4491: @PanguTeam, Stefan Esser
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w podsystemie pamięci współużytkowanej jądra występował błąd, który pozwalał atakującemu na zapisywanie w pamięci przeznaczonej tylko do odczytu. Ten problem rozwiązano poprzez bardziej rygorystyczne sprawdzanie uprawnień do pamięci współdzielonej.
Identyfikator CVE
CVE-2014-4495: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwie spreparowane lub zmodyfikowane aplikacje systemu iOS mogą być w stanie określić adresy w jądrze.
Opis: interfejs jądra mach_port_kobject ujawniał adresy jądra i wartość permutacji sterty, co mogło pomóc w pominięciu ochrony randomizacji układu przestrzeni adresowej. Rozwiązaniem tego problemu było wyłączenie interfejsu mach_port_kobject w konfiguracjach produkcyjnych.
Identyfikator CVE
CVE-2014-4496: zespół TaiG Jailbreak
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja działająca w piaskownicy może naruszyć demona networkd.
Opis: podczas obsługiwania komunikacji międzyprocesowej przez networkd występowały liczne problemy z pomyleniem typu. Wysłanie złośliwie sformatowanego komunikatu do demona networkd mogło pozwolić na wykonanie dowolnego kodu jako proces networkd. Ten błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania typu.
Identyfikator CVE
CVE-2014-4492: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: arkusze stylów są ładowane z różnych źródeł, co może umożliwić eksfiltrację danych.
Opis: plik SVG załadowany w elemencie img może załadować plik CSS z różnych źródeł. Ten problem rozwiązano poprzez ulepszone blokowanie zewnętrznych odniesień do CSS w plikach SVG.
Identyfikator CVE
CVE-2014-4465: Rennie deGraaf z iSEC Partners
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.
Opis: w zestawie WebKit występowały liczne problemy z uszkodzeniem pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT w ramach programu Zero Day Initiative
CVE-2014-4479: Apple
Apple TV
Dostępne dla: urządzeń iPhone 4s lub nowszych, iPod touch (5. generacji) lub nowszych, iPad 2 lub nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: biblioteka libgssapi mechanizmu Kerberos zwracała token kontekstu zawierający wskaźnik nieprzypisany. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
Identyfikator CVE
CVE-2014-5352
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.