Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7.0.3

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7.0.3.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Apple TV 7.0.3

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwie spreparowane polecenie programu afc może umożliwić dostęp do chronionych części systemu plików.

    Opis: mechanizm łączy symbolicznych programu afc zawierał lukę w zabezpieczeniach. Ten problem rozwiązano poprzez wprowadzenie dodatkowych procedur sprawdzania ścieżek.

    Identyfikator CVE

    CVE-2014-4480: zespół TaiG Jailbreak

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: podczas obsługi plików PDF następowało przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4481: Felipe Andres Manzano z Binamuse VRT, za pośrednictwem iSIGHT Partners GVP Program

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: użytkownik lokalny może być w stanie wykonać niepodpisany kod.

    Opis: podczas obsługi plików wykonywalnych Mach-O z nakładającymi się segmentami występował błąd zarządzania stanem. Ten problem rozwiązano poprzez poprawienie procedury sprawdzania poprawności rozmiarów segmentów.

    Identyfikator CVE

    CVE-2014-4455: zespół TaiG Jailbreak

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: podczas obsługi plików czcionek następowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4483: Apple

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku DFONT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: podczas obsługi plików DFONT występował błąd powodujący uszkodzenie pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4484: Gaurav Baruah w ramach programu Zero Day Initiative firmy HP

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku XML może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w analizatorze składni pliku XML następowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4485: Apple

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: podczas obsługi list zasobów w IOAcceleratorFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez usunięcie niepotrzebnego kodu.

    Identyfikator CVE

    CVE-2014-4486: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w IOHIDFamily następowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności rozmiaru.

    Identyfikator CVE

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: podczas obsługi metadanych kolejki zasobów przez IOHIDFamily występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2014-4488: Apple

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: podczas obsługi kolejek zdarzeń przez IOHIDFamily występowała dereferencja wskaźnika null. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

    Identyfikator CVE

    CVE-2014-4489: @beist

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwie spreparowane lub zmodyfikowane aplikacje systemu iOS mogą być w stanie określić adresy w jądrze.

    Opis: podczas obsługi interfejsów API związanych z rozszerzeniami jądra występował błąd powodujący ujawnianie informacji. Odpowiedzi zawierające klucz OSBundleMachOHeaders mogą zawierać adresy jądra, co może ułatwić ominięcie ochrony polegającej na losowym wybieraniu układu przestrzeni adresowej. Ten błąd naprawiono przez cofnięcie przesunięcia adresów przed zwróceniem ich.

    Identyfikator CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w podsystemie pamięci współużytkowanej jądra występował błąd, który pozwalał atakującemu na zapisywanie w pamięci przeznaczonej tylko do odczytu. Ten problem rozwiązano poprzez bardziej rygorystyczne sprawdzanie uprawnień do pamięci współdzielonej.

    Identyfikator CVE

    CVE-2014-4495: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwie spreparowane lub zmodyfikowane aplikacje systemu iOS mogą być w stanie określić adresy w jądrze.

    Opis: interfejs jądra mach_port_kobject ujawniał adresy jądra i wartość permutacji sterty, co mogło pomóc w pominięciu ochrony randomizacji układu przestrzeni adresowej. Rozwiązaniem tego problemu było wyłączenie interfejsu mach_port_kobject w konfiguracjach produkcyjnych.

    Identyfikator CVE

    CVE-2014-4496: zespół TaiG Jailbreak

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: złośliwa aplikacja działająca w piaskownicy może naruszyć demona networkd.

    Opis: podczas obsługiwania komunikacji międzyprocesowej przez networkd występowały liczne problemy z pomyleniem typu. Wysłanie złośliwie sformatowanego komunikatu do demona networkd mogło pozwolić na wykonanie dowolnego kodu jako proces networkd. Ten błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania typu.

    Identyfikator CVE

    CVE-2014-4492: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: arkusze stylów są ładowane z różnych źródeł, co może umożliwić eksfiltrację danych.

    Opis: plik SVG załadowany w elemencie img może załadować plik CSS z różnych źródeł. Ten problem rozwiązano poprzez ulepszone blokowanie zewnętrznych odniesień do CSS w plikach SVG.

    Identyfikator CVE

    CVE-2014-4465: Rennie deGraaf z iSEC Partners

  • Apple TV

    Dostępne dla: urządzeń Apple TV 3. generacji i nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.

    Opis: w zestawie WebKit występowały liczne problemy z uszkodzeniem pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT w ramach programu Zero Day Initiative

    CVE-2014-4479: Apple

  • Apple TV

    Dostępne dla: urządzeń iPhone 4s lub nowszych, iPod touch (5. generacji) lub nowszych, iPad 2 lub nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: biblioteka libgssapi mechanizmu Kerberos zwracała token kontekstu zawierający wskaźnik nieprzypisany. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

    Identyfikator CVE

    CVE-2014-5352

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: