Om säkerhetsinnehållet i Apple TV 7

Det här dokumentet beskriver säkerhetsinnehållet i Apple TV 7.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Apple TV 7

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En angripare kan få tag på wifi-inloggningsuppgifter

    Beskrivning: En angripare kunde imitera en wifi-åtkomstpunkt, erbjuda sig att autentisera med LEAP, bryta MS-CHAPv1-hash-koden och använda de härledda autentiseringsuppgifterna för att autentisera till den avsedda åtkomstpunkten även om den åtkomstpunkten hade stöd för starkare autentiseringsmetoder. Problemet åtgärdades genom att ta bort stödet för LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax och Wim Lamotte från Universiteit Hasselt

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En angripare med åtkomst till en enhet kan komma åt känslig användarinformation från loggar

    Beskrivning: Känslig användarinformation loggades. Problemet åtgärdades genom att mindre information loggades.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski på OP-Pohjola Group

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En angripare med en behörighetsposition i nätverket kan få en enhet att tro att den är uppdaterad även när den inte är det

    Beskrivning: Det fanns ett valideringsproblem i hantering av uppdateringskontrollsvar. Datum i Senast ändrad-sidhuvudsvar förfalskades och ställdes in på ett kommande datum, vilket sedan kunde användas vid en kontroll av ändringsdatumet i en efterföljande uppdateringsbegäran. Problemet åtgärdades genom validering av Senast ändrad-sidhuvudet.

    CVE-ID

    CVE-2014-4383: Raul Siles på DinoSec

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett heltalsspill förekom i hanteringen av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Att öppna en skadlig PDF-fil kan leda till oväntad programavslutning eller att information avslöjas

    Beskrivning: Det förekom läsning utanför gränserna vid hanteringen av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare. Effekt: En applikation kan orsaka en oväntad systemavslutning Beskrivning: Det förekom en nollpekarreferens i hanteringen av IOAcceleratorFamily API-argument. Problemet åtgärdades genom förbättrad validering av IOAcceleratorFamily API-argument. CVE-IDCVE-2014-4369: Sarah (winocm) och Cererdlong på Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry added February 3, 2020

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Enheten kan oväntat starta om

    Beskrivning: Det förekom en nollpekareferens i IntelAccelerator-drivrutinen. Problemet åtgärdades genom förbättrad felhantering.

    CVE-ID

    CVE-2014-4373: cunzhang från Adlab på Venustech

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan läsa kernelpekare, som kan användas för att kringgå randomiseringen av kernelns adressutrymmeslayout

    Beskrivning: Det fanns ett problem med läsning utanför gränserna vid hanteringen av en IOHIDFamily-funktion. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4379: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Det förekom ett heapbuffertspill i IOHIDFamily-hanteringen av nyckelmappningsegenskaper. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4404: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Det fanns en nollpekarereferens i IOHIDFamily-hanteringen av nyckelmappningsegenskaper. Problemet åtgärdades genom förbättrad validering av egenskaperna för nyckelmappning i IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

    Beskrivning: Det fanns ett problem med skrivning utanför gränserna i IOHIDFamily-kerneltillägget. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4380: cunzhang från Adlab på Venustech

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kanske kan läsa oinitierade data från kernelminnet

    Beskrivning: Det fanns ett problem med åtkomst till oinitierat minne i hanteringen av IOKit-funktioner. Det här problemet åtgärdades genom förbättrad minnesinitiering

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Det fanns ett valideringsproblem i hanteringen av vissa metadatafält för IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4418: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Det fanns ett valideringsproblem i hanteringen av vissa metadatafält för IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Det förekom ett heltalsspill i hanteringen av IOKit-funktioner. Problemet har åtgärdats genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2014-4389: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan kanske fastställa kernelns minneslayout

    Beskrivning: Det fanns flera problem med oinitierat minne i nätverksstatistikgränssnittet, vilket ledde till att kernelminnets innehåll avslöjades. Problemet åtgärdades genom ytterligare minnesinitiering.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna på Google Security Team

    CVE-2014-4419: Fermin J. Serna på Google Security Team

    CVE-2014-4420: Fermin J. Serna på Google Security Team

    CVE-2014-4421: Fermin J. Serna på Google Security Team

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En person med en behörighetsposition i nätverket kan orsaka ett överbelastningsangrepp

    Beskrivning: Det förekom ett konkurrenstillstånd vid hanteringen av IPv6-paket. Problemet åtgärdades genom förbättrad låsstatuskontroll.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan eventuellt orsaka en oväntad systemavslutning eller körning av opålitlig kod i kerneln

    Beskrivning: Det förekom ett dubbelt fritt fel i hanteringen av Mach-portar. Problemet åtgärdades genom förbättrad validering av Mach-portar.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan eventuellt orsaka en oväntad systemavslutning eller körning av opålitlig kod i kerneln

    Beskrivning: Det fanns ett problem med lösning utanför gränserna i rt_setgate. Det kan leda till problem med avslöjande av minne eller minnesfel. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Vissa kernelhärdningsåtgärder kan förbigås

    Beskrivning: Den ”tidiga” slumptalsgeneratorn som användes i vissa kernelhärdningsåtgärder var inte kryptografiskt säker, och en del av dess utdata exponerades för användarutrymmet, vilket gjorde det möjligt att förbigå härdningsåtgärderna. Problemet åtgärdades genom att ersätta slumptalsgeneratorn med en kryptografiskt säker algoritm och med hjälp av en 16-byte seed.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt på Azimuth Security

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med rotbehörighet

    Beskrivning: Det fanns ett problem med skrivning utanför gränserna i Libnotify. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4381: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan ändra behörigheter för godtyckliga filer

    Beskrivning: syslogd följde symboliska länkar medan filers behörigheter ändrades. Problemet löstes genom förbättrad hantering av symboliska länkar.

    CVE-ID

    CVE-2014-4372: Tielei Wang och YeongJin Jang på Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En angripare med en behörighetsposition i nätverket kan orsaka en oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det fanns flera problem med minneskorruption i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2013-6663: Atte Kettunen på OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel på Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: