Informace o bezpečnostním obsahu Apple TV 6.1

Tento dokument popisuje bezpečnostní obsah aktualizace Apple TV 6.1.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Apple TV 6.1

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Útočník s přístupem k Apple TV může mít přístup k citlivým uživatelským údajům z protokolů.

    Popis: Do protokolů se zapisovaly citlivé uživatelské údaje. Problém byl vyřešen protokolováním menšího množství informací.

    CVE-ID

    CVE-2014-1279 : David Schuetz pracující pro Intrepidus Group

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Data ukončení platnosti profilů nebyla dodržována.

    Popis: Data ukončení platnosti konfiguračních profilů nebyla správně vyhodnocována. Problém byl vyřešen lepším zpracováváním konfiguračních profilů.

    CVE-ID

    CVE-2014-1267

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Škodlivá aplikace může způsobit neočekávané ukončení systému.

    Popis: Při zpracovávání volání API IOKit součástí CoreCapture docházelo k problému s dosažitelným kontrolním výrazem. Problém byl vyřešen dodatečným ověřováním vstupů z IOKitu.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Místní uživatel může změnit oprávnění u libovolných souborů.

    Popis: Při změně oprávnění souborů se součást CrashHouseKeeping řídila symbolickými odkazy. Problém byl vyřešen nepřecházením na symbolické odkazy při změně oprávnění souborů.

    CVE-ID

    CVE-2014-1272: evad3rs

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Požadavky na podepisování kódu se dají obejít.

    Popis: Modul dyld mohl načítat pokyny k přemístění textu v dynamických knihovnách, aniž by ověřoval podpis kódu. Problém byl vyřešen ignorováním pokynů k přemístění textu.

    CVE-ID

    CVE-2014-1273: evad3rs

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Zobrazení škodlivého PDF souboru mohlo vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků ve formátu JPEG2000 v souborech PDF docházelo k přetečení zásobníku. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1275: Felix Groebert z týmu Google Security

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Zobrazení škodlivého souboru TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V knihovně libtiff docházelo při zpracování obrázků TIFF k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšením ověřování obrázků TIFF.

    CVE-ID

    CVE-2012-2088

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Zobrazení škodlivého souboru JPEG může vést ke zveřejnění obsahu paměti.

    Popis: Při zpracovávání markerů JPEG příkazem libjpeg docházelo k problému s neinicializovaným přístupem k paměti, který vedl ke zveřejnění obsahu paměti. Problém byl vyřešen dalším ověřováním souborů JPEG.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Místní uživatel může způsobit neočekávané ukončení systému nebo spuštění libovolného kódu v jádru.

    Popis: Při zpracování funkce ARM ptmx_get_ioctl docházelo k problému s přístupem k paměti mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Konfigurační profil může být před uživatelem skrytý.

    Popis: Konfigurační profil s dlouhým názvem se na zařízení mohl nahrát, ale v uživatelském rozhraní se nezobrazoval. Problém byl vyřešen lepším zpracováváním názvů profilů.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit a Adi Sharabani ze společnosti Skycure

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Osoba s fyzickým přístupem k zařízení může způsobit spuštění libovolného kódu v režimu jádra.

    Popis: Při zpracovávání zpráv USB docházelo k problému s poškozením paměti. Problém byl vyřešen dalším ověřováním zpráv USB.

    CVE-ID

    CVE-2014-1287: Andy Davis ze společnosti NCC Group

  • WebKit

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2013-2909: Atte Kettunen ze skupiny OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Tým Google Chrome Security

    CVE-2013-5196: Tým Google Chrome Security

    CVE-2013-5197: Tým Google Chrome Security

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Tým Google Chrome Security

    CVE-2013-5228: Keen Team (@K33nTeam) ve spolupráci s iniciativou Zero Day Initiative společnosti HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) ve spolupráci s iniciativou Zero Day Initiative společnosti HP, tým Google Chrome Security

    CVE-2014-1291: Tým Google Chrome Security

    CVE-2014-1292: Tým Google Chrome Security

    CVE-2014-1293: Tým Google Chrome Security

    CVE-2014-1294: Tým Google Chrome Security

  • Apple TV

    K dispozici pro: Apple TV (2. generace a novější)

    Dopad: Při přehrávání škodlivého videa může zařízení přestat reagovat.

    Popis: Ve zpracovávání souborů kódovaných ve formátu MPEG-4 existoval problém s přístupem přes nulový ukazatel. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2014-1280: rg0rd

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: