O bezpečnostním obsahu softwaru Apple TV 4.4

Tento dokument popisuje bezpečnostní obsah softwaru Apple TV 4.4.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Aktualizace softwaru Apple TV 4.4

  • Apple TV

    K dispozici pro: Apple TV 4.0 až 4.3

    Dopad: Útočník s vysokými oprávněními v síti může zachytit přihlašovací údaje uživatelů nebo jiné citlivé informace.

    Popis: Několik certifikačních autorit provozovaných společností DigiNotar vydávalo podvodné certifikáty. Problém byl vyřešen odebráním společnosti DigiNotar ze seznamu důvěryhodných kořenových certifikátů i ze seznamu certifikačních autorit pro Extended Validation (EV) a nakonfigurováním výchozích systémových nastavení důvěryhodnosti, aby certifikáty DigiNotaru včetně těch vydaných jinými autoritami nebyly považovány za důvěryhodné.

  • Apple TV

    K dispozici pro: Apple TV 4.0 až 4.3

    Dopad: Podpora certifikátů X.509 s hashy MD5 může uživatele vystavit problému s falšováním identity a prozrazením informací s tím, jak se útoky zlepšují.

    Popis: Systém iOS přijímal certifikáty podepsané algoritmem hash MD5. Tento algoritmus má známé kryptografické slabiny. Další výzkum chybně konfigurované certifikační autority mohl umožnit vytvoření certifikátů X.509 s hodnotami řízenými útočníkem, kterým by systém důvěřoval. To by protokoly založené na certifikátech X.509 vystavilo falšování identity, útokům typu man in the middle a prozrazení informací. Tato aktualizace zakazuje podporu certifikátu X.509 s hashem MD5 pro jiné použití než jako důvěryhodný kořenový certifikát.

    CVE-ID

    CVE-2011-3427

  • Apple TV

    K dispozici pro: Apple TV 4.0 až 4.3

    Dopad: Útočník mohl dešifrovat část připojení přes SSL.

    Popis: Podporovány byly jen tyto verze SSL: SSLv3 a TLS 1.0. Tyto verze při používání blokového šifrování podléhaly slabinám protokolů. Útočník typu man-in-the-middle mohl vložit neplatná data, která způsobila uzavření připojení, ale odhalila některé informace o předchozích datech. V případě opakování stejného připojení se útočníkovi mohlo nakonec podařit dešifrovat odesílaná data, například heslo. Problém byl vyřešen přidáním podpory pro TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    K dispozici pro: Apple TV 4.0 až 4.3

    Dopad: Zobrazení škodlivého obrázku TIFF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: V knihovně libTIFF docházelo při zpracovávání obrázků TIFF šifrovaných pomocí CCIT Group 4 k přetečení vyrovnávací paměti.

    CVE-ID

    CVE-2011-0192: Apple

  • Apple TV

    K dispozici pro: Apple TV 4.0 až 4.3

    Dopad: Zobrazení škodlivého obrázku TIFF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: V knihovně libTIFF docházelo při zpracovávání obrázků TIFF šifrovaných pomocí CCIT Group 4 k přetečení vyrovnávací paměti haldy.

    CVE-ID

    CVE-2011-0241 : Cyril CATTIAUX ze společnosti Tessi Technologies

  • Apple TV

    K dispozici pro: Apple TV 4.0 až 4.3

    Dopad: Vzdálený útočník může způsobit resetování zařízení.

    Popis: Jádru se nepodařilo ihned získat zpět paměť z neúplných připojení přes TCP. Útočníkovi se schopnosti připojit se k naslouchací službě na zařízení s iOS se mohlo podařit vyčerpat systémové zdroje.

    CVE-ID

    CVE-2011-3259 : Wouter van der Veer ze společnosti Topicus I&I a Josh Enders

  • Apple TV

    K dispozici pro: Apple TV 4.0 až 4.3

    Dopad: Útočník s vysokými oprávněními v síti může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracování dat XML v libxml docházelo k jednobajtovému přetečení vyrovnávací paměti haldy.

    CVE-ID

    CVE-2011-0216 : Billy Rios z týmu Google Security Team

  • Apple TV

    K dispozici pro: Apple TV 4.0 až 4.3

    Dopad: Útočník s vysokými oprávněními v síti může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.

    Popis: V JavaScriptCore existoval problém s poškozením paměti.

    CVE-ID

    CVE-2011-3232 : Aki Helin ze společnosti OUSPG

Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: