Informace o bezpečnostním obsahu Apple TV 6.0
Přečtěte si o bezpečnostním obsahu Apple TV 6.0.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Apple TV 6,0
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Zobrazení škodlivého PDF souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci s daty zakódovanými ve formátu JBIG2 v souborech PDF docházelo k problému s přetečením zásobníku. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-ID
CVE-2013-1025: Felix Groebert z bezpečnostního týmu Google
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Přehrání škodlivého videosouboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci s filmovými soubory v kódování Sorenson docházelo k přetečení zásobníku. Tento problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2013-1019: Tom Gallagher (Microsoft) a Paul Bates (Microsoft) spolupracující se Zero Day Initiative společnosti HP
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Útočník s výsadním oprávněním v síti může zachytit přihlašovací údaje nebo jiné citlivé informace.
Popis: TrustWave, důvěryhodná kořenová certifikační autorita, vydala a následně odvolala dílčí certifikát pocházející od jedné z jejích kotev vztahu důvěryhodnosti. Tato dílčí certifikační autorita umožnila únik komunikace zabezpečené pomocí protokolu TLS (Transport Layer Security). Tato aktualizace přidala příslušný certifikát dílčí certifikační autority na seznam nedůvěryhodných certifikátů OS X.
CVE-ID
CVE-2013-5134
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Útočník, který na zařízení může spouštět libovolný kód, dokáže spouštět kód i po restartování.
Popis: Ve funkci openSharedCacheFile() modulu dyld docházelo k několikanásobnému přetečení zásobníku. Problémy byly vyřešeny vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2013-3950: Stefan Esser
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Zobrazení škodlivého PDF souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci s daty zakódovanými ve formátu JPEG2000 v souborech PDF docházelo k problému s přetečením zásobníku. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-ID
CVE-2013-1026: Felix Groebert z bezpečnostního týmu Google
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Škodlivá místní aplikace mohla způsobit neočekávané ukončení systému.
Popis: V katalogu IOCatalogue docházelo k dereferenci na ukazatel NULL. Problém byl vyřešen dodatečným ověřováním typu.
CVE-ID
CVE-2013-5138: Will Estes
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Spuštění škodlivé aplikace může vést ke spuštění libovolného kódu v jádru.
Popis: V ovladači IOSerialFamily docházelo k přístupu k poli vymykající se rozsahu. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-ID
CVE-2013-5139: @dent1zt
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Vzdálený útočník mohl způsobit neočekávaný restart zařízení.
Popis: Útočník mohl na zařízení zaslat neplatný fragment paketu a tím spustit vyhodnocení jádra, což způsobilo restartování. Problém byl vyřešen dodatečným ověřováním fragmentů paketů.
CVE-ID
CVE-2013-5140: Joonas Kuorilehto ze společnosti Codenomicon, anonymní výzkumník pracující pro CERT-FI, Antti Levomäki a Lauri Virtanen z Vulnerability Analysis Group, Stonesoft
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Útočník v místní síti mohl způsobit odmítnutí služeb
Popis: Útočník v místní síti mohl zasílat účelně vytvořené pakety IPv6 ICMP a tím způsobit přetížení procesoru. Problém byl vyřešen tím, že před ověřením kontrolního součtu ICMP paketů je teď omezeno, kolik je jich možné maximálně přijmout za časovou jednotku.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Místní uživatelé můžou získat přístup k paměti zásobníku jádra
Popis: V API msgctl a segctl docházelo k problému s vyzrazováním informací. Tento problém byl vyřešen inicializací datových struktur vrácených z jádra.
CVE-ID
CVE-2013-5142: Kenzley Alphonse ze společnosti Kenx Technology, Inc
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Neoprávněný proces mohl získat přístup k obsahu paměti jádra, což mohlo vést k eskalaci oprávnění
Popis: V API mach_port_space_info docházelo k problému s vyzrazováním informací. Tento problém byl vyřešen inicializací pole iin_collision ve strukturách vrácených z jádra.
CVE-ID
CVE-2013-3953: Stefan Esser
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Neoprávněný proces může způsobit neočekávané ukončení systému nebo spuštění libovolného kódu v jádru
Popis: Při manipulaci s argumenty pro API posix_spawn docházelo k problému s poškozením paměti. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-ID
CVE-2013-3954: Stefan Esser
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Neoprávněný proces může upravit sadu načtených rozšíření jádra.
Popis: Při manipulaci se zprávami IPC od neoprávněných odesilatelů docházelo k problému se zpracováním rozšíření jádra (kext). Tento problém byl vyřešen přidáním dodatečných kontrol oprávnění.
CVE-ID
CVE-2013-5145: „Rainbow PRISM“
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Zobrazení škodlivé webové stránky může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: V libxml docházelo k několika problémům s poškozením paměti. Problémy byly vyřešeny aktualizací libxml na verzi 2.9.0.
CVE-ID
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: Bezpečnostní tým Google Chrome (Jüri Aedla)
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Zobrazení škodlivé webové stránky může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: V libxslt docházelo k několika problémům s poškozením paměti. Problémy byly vyřešeny aktualizací libxslt na verzi 1.1.28.
CVE-ID
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Kai Lu ze společnosti Fortinet's FortiGuard Labs, Nicolas Gregoire
Apple TV
K dispozici pro: Apple TV 2. generace a novější
Dopad: Návštěva škodlivého webu mohla vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve WebKitu docházelo k několika problémům s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2013-0879: Atte Kettunen ze skupiny OUSPG
CVE-2013-0991: Jay Civelli z vývojové komunity projektu Chromium
CVE-2013-0992: Tým Google Chrome Security (Martin Barbella)
CVE-2013-0993: Tým Google Chrome Security (Inferno)
CVE-2013-0994: David German ze společnosti Google
CVE-2013-0995: Tým Google Chrome Security (Inferno)
CVE-2013-0996: Tým Google Chrome Security (Inferno)
CVE-2013-0997: Vitaliy Toropov spolupracující s iniciativou Zero Day společnosti HP TippingPoint
CVE-2013-0998: pa_kt spolupracující na projektu Zero Day Initiative společnosti HP
CVE-2013-0999: pa_kt spolupracující na projektu Zero Day Initiative společnosti HP
CVE-2013-1000: Fermin J. Serna z týmu Google Security
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Tým Google Chrome Security (Inferno)
CVE-2013-1004: Tým Google Chrome Security (Martin Barbella)
CVE-2013-1005: Tým Google Chrome Security (Martin Barbella)
CVE-2013-1006: Tým Google Chrome Security (Martin Barbella)
CVE-2013-1007: Tým Google Chrome Security (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1011
CVE-2013-1037: Tým Google Chrome Security
CVE-2013-1038: Tým Google Chrome Security
CVE-2013-1039: own-hero Research ve spolupráci s iDefense VCP
CVE-2013-1040: Tým Google Chrome Security
CVE-2013-1041: Tým Google Chrome Security
CVE-2013-1042: Tým Google Chrome Security
CVE-2013-1043: Tým Google Chrome Security
CVE-2013-1044: Apple
CVE-2013-1045: Tým Google Chrome Security
CVE-2013-1046: Tým Google Chrome Security
CVE-2013-1047: miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: Tým Google Chrome Security
CVE-2013-5126: Apple
CVE-2013-5127: Tým Google Chrome Security
CVE-2013-5128: Apple
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.