Informace o bezpečnostním obsahu Apple TV 6.0

Přečtěte si o bezpečnostním obsahu Apple TV 6.0.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Apple TV 6,0

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Zobrazení škodlivého PDF souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s daty zakódovanými ve formátu JBIG2 v souborech PDF docházelo k problému s přetečením zásobníku. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1025: Felix Groebert z bezpečnostního týmu Google

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Přehrání škodlivého videosouboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s filmovými soubory v kódování Sorenson docházelo k přetečení zásobníku. Tento problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) a Paul Bates (Microsoft) spolupracující se Zero Day Initiative společnosti HP

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Útočník s výsadním oprávněním v síti může zachytit přihlašovací údaje nebo jiné citlivé informace.

    Popis: TrustWave, důvěryhodná kořenová certifikační autorita, vydala a následně odvolala dílčí certifikát pocházející od jedné z jejích kotev vztahu důvěryhodnosti. Tato dílčí certifikační autorita umožnila únik komunikace zabezpečené pomocí protokolu TLS (Transport Layer Security). Tato aktualizace přidala příslušný certifikát dílčí certifikační autority na seznam nedůvěryhodných certifikátů OS X.

    CVE-ID

    CVE-2013-5134

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Útočník, který na zařízení může spouštět libovolný kód, dokáže spouštět kód i po restartování.

    Popis: Ve funkci openSharedCacheFile() modulu dyld docházelo k několikanásobnému přetečení zásobníku. Problémy byly vyřešeny vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Zobrazení škodlivého PDF souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s daty zakódovanými ve formátu JPEG2000 v souborech PDF docházelo k problému s přetečením zásobníku. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1026: Felix Groebert z bezpečnostního týmu Google

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Škodlivá místní aplikace mohla způsobit neočekávané ukončení systému.

    Popis: V katalogu IOCatalogue docházelo k dereferenci na ukazatel NULL. Problém byl vyřešen dodatečným ověřováním typu.

    CVE-ID

    CVE-2013-5138: Will Estes

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Spuštění škodlivé aplikace může vést ke spuštění libovolného kódu v jádru.

    Popis: V ovladači IOSerialFamily docházelo k přístupu k poli vymykající se rozsahu. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Vzdálený útočník mohl způsobit neočekávaný restart zařízení.

    Popis: Útočník mohl na zařízení zaslat neplatný fragment paketu a tím spustit vyhodnocení jádra, což způsobilo restartování. Problém byl vyřešen dodatečným ověřováním fragmentů paketů.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto ze společnosti Codenomicon, anonymní výzkumník pracující pro CERT-FI, Antti Levomäki a Lauri Virtanen z Vulnerability Analysis Group, Stonesoft

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Útočník v místní síti mohl způsobit odmítnutí služeb

    Popis: Útočník v místní síti mohl zasílat účelně vytvořené pakety IPv6 ICMP a tím způsobit přetížení procesoru. Problém byl vyřešen tím, že před ověřením kontrolního součtu ICMP paketů je teď omezeno, kolik je jich možné maximálně přijmout za časovou jednotku.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Místní uživatelé můžou získat přístup k paměti zásobníku jádra

    Popis: V API msgctl a segctl docházelo k problému s vyzrazováním informací. Tento problém byl vyřešen inicializací datových struktur vrácených z jádra.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse ze společnosti Kenx Technology, Inc

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Neoprávněný proces mohl získat přístup k obsahu paměti jádra, což mohlo vést k eskalaci oprávnění

    Popis: V API mach_port_space_info docházelo k problému s vyzrazováním informací. Tento problém byl vyřešen inicializací pole iin_collision ve strukturách vrácených z jádra.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Neoprávněný proces může způsobit neočekávané ukončení systému nebo spuštění libovolného kódu v jádru

    Popis: Při manipulaci s argumenty pro API posix_spawn docházelo k problému s poškozením paměti. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Neoprávněný proces může upravit sadu načtených rozšíření jádra.

    Popis: Při manipulaci se zprávami IPC od neoprávněných odesilatelů docházelo k problému se zpracováním rozšíření jádra (kext). Tento problém byl vyřešen přidáním dodatečných kontrol oprávnění.

    CVE-ID

    CVE-2013-5145: „Rainbow PRISM“

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Zobrazení škodlivé webové stránky může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V libxml docházelo k několika problémům s poškozením paměti. Problémy byly vyřešeny aktualizací libxml na verzi 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Bezpečnostní tým Google Chrome (Jüri Aedla)

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Zobrazení škodlivé webové stránky může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V libxslt docházelo k několika problémům s poškozením paměti. Problémy byly vyřešeny aktualizací libxslt na verzi 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu ze společnosti Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Apple TV

    K dispozici pro: Apple TV 2. generace a novější

    Dopad: Návštěva škodlivého webu mohla vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve WebKitu docházelo k několika problémům s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2013-0879: Atte Kettunen ze skupiny OUSPG

    CVE-2013-0991: Jay Civelli z vývojové komunity projektu Chromium

    CVE-2013-0992: Tým Google Chrome Security (Martin Barbella)

    CVE-2013-0993: Tým Google Chrome Security (Inferno)

    CVE-2013-0994: David German ze společnosti Google

    CVE-2013-0995: Tým Google Chrome Security (Inferno)

    CVE-2013-0996: Tým Google Chrome Security (Inferno)

    CVE-2013-0997: Vitaliy Toropov spolupracující s iniciativou Zero Day společnosti HP TippingPoint

    CVE-2013-0998: pa_kt spolupracující na projektu Zero Day Initiative společnosti HP

    CVE-2013-0999: pa_kt spolupracující na projektu Zero Day Initiative společnosti HP

    CVE-2013-1000: Fermin J. Serna z týmu Google Security

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Tým Google Chrome Security (Inferno)

    CVE-2013-1004: Tým Google Chrome Security (Martin Barbella)

    CVE-2013-1005: Tým Google Chrome Security (Martin Barbella)

    CVE-2013-1006: Tým Google Chrome Security (Martin Barbella)

    CVE-2013-1007: Tým Google Chrome Security (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1011

    CVE-2013-1037: Tým Google Chrome Security

    CVE-2013-1038: Tým Google Chrome Security

    CVE-2013-1039: own-hero Research ve spolupráci s iDefense VCP

    CVE-2013-1040: Tým Google Chrome Security

    CVE-2013-1041: Tým Google Chrome Security

    CVE-2013-1042: Tým Google Chrome Security

    CVE-2013-1043: Tým Google Chrome Security

    CVE-2013-1044: Apple

    CVE-2013-1045: Tým Google Chrome Security

    CVE-2013-1046: Tým Google Chrome Security

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Tým Google Chrome Security

    CVE-2013-5126: Apple

    CVE-2013-5127: Tým Google Chrome Security

    CVE-2013-5128: Apple

 

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: