Informace o bezpečnostním obsahu Apple TV 6.1
Tento dokument popisuje bezpečnostní obsah aktualizace Apple TV 6.1.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Apple TV 6.1
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Útočník s přístupem k Apple TV může mít přístup k citlivým uživatelským údajům z protokolů.
Popis: Do protokolů se zapisovaly citlivé uživatelské údaje. Problém byl vyřešen protokolováním menšího množství informací.
CVE-ID
CVE-2014-1279 : David Schuetz pracující pro Intrepidus Group
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Data ukončení platnosti profilů nebyla dodržována.
Popis: Data ukončení platnosti konfiguračních profilů nebyla správně vyhodnocována. Problém byl vyřešen lepším zpracováváním konfiguračních profilů.
CVE-ID
CVE-2014-1267
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Škodlivá aplikace může způsobit neočekávané ukončení systému.
Popis: Při zpracovávání volání API IOKit součástí CoreCapture docházelo k problému s dosažitelným kontrolním výrazem. Problém byl vyřešen dodatečným ověřováním vstupů z IOKitu.
CVE-ID
CVE-2014-1271: Filippo Bigarella
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Místní uživatel může změnit oprávnění u libovolných souborů.
Popis: Při změně oprávnění souborů se součást CrashHouseKeeping řídila symbolickými odkazy. Problém byl vyřešen nepřecházením na symbolické odkazy při změně oprávnění souborů.
CVE-ID
CVE-2014-1272: evad3rs
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Požadavky na podepisování kódu se dají obejít.
Popis: Modul dyld mohl načítat pokyny k přemístění textu v dynamických knihovnách, aniž by ověřoval podpis kódu. Problém byl vyřešen ignorováním pokynů k přemístění textu.
CVE-ID
CVE-2014-1273: evad3rs
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Zobrazení škodlivého PDF souboru mohlo vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání obrázků ve formátu JPEG2000 v souborech PDF docházelo k přetečení zásobníku. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1275: Felix Groebert z týmu Google Security
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Zobrazení škodlivého souboru TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: V knihovně libtiff docházelo při zpracování obrázků TIFF k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšením ověřování obrázků TIFF.
CVE-ID
CVE-2012-2088
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Zobrazení škodlivého souboru JPEG může vést ke zveřejnění obsahu paměti.
Popis: Při zpracovávání markerů JPEG příkazem libjpeg docházelo k problému s neinicializovaným přístupem k paměti, který vedl ke zveřejnění obsahu paměti. Problém byl vyřešen dalším ověřováním souborů JPEG.
CVE-ID
CVE-2013-6629: Michal Zalewski
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Místní uživatel může způsobit neočekávané ukončení systému nebo spuštění libovolného kódu v jádru.
Popis: Při zpracování funkce ARM ptmx_get_ioctl docházelo k problému s přístupem k paměti mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1278: evad3rs
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Konfigurační profil může být před uživatelem skrytý.
Popis: Konfigurační profil s dlouhým názvem se na zařízení mohl nahrát, ale v uživatelském rozhraní se nezobrazoval. Problém byl vyřešen lepším zpracováváním názvů profilů.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit a Adi Sharabani ze společnosti Skycure
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Osoba s fyzickým přístupem k zařízení může způsobit spuštění libovolného kódu v režimu jádra.
Popis: Při zpracovávání zpráv USB docházelo k problému s poškozením paměti. Problém byl vyřešen dalším ověřováním zpráv USB.
CVE-ID
CVE-2014-1287: Andy Davis ze společnosti NCC Group
WebKit
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2013-2909: Atte Kettunen ze skupiny OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Tým Google Chrome Security
CVE-2013-5196: Tým Google Chrome Security
CVE-2013-5197: Tým Google Chrome Security
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Tým Google Chrome Security
CVE-2013-5228: Keen Team (@K33nTeam) ve spolupráci s iniciativou Zero Day Initiative společnosti HP
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) ve spolupráci s iniciativou Zero Day Initiative společnosti HP, tým Google Chrome Security
CVE-2014-1291: Tým Google Chrome Security
CVE-2014-1292: Tým Google Chrome Security
CVE-2014-1293: Tým Google Chrome Security
CVE-2014-1294: Tým Google Chrome Security
Apple TV
K dispozici pro: Apple TV (2. generace a novější)
Dopad: Při přehrávání škodlivého videa může zařízení přestat reagovat.
Popis: Ve zpracovávání souborů kódovaných ve formátu MPEG-4 existoval problém s přístupem přes nulový ukazatel. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2014-1280: rg0rd
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.