Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Apple TV 7
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Útočník může získat přihlašovací údaje k Wi-Fi.
Popis: Útočník se mohl vydávat za přístupový bod Wi-Fi, nabízet ověřování s protokolem LEAP, prolomit hash protokolu MS-CHAPv1 a získané přihlašovací údaje pak použít k ověření k zamýšlenému přístupovému bodu, i když tento přístupový bod podporoval silnější metody ověřování. Problém byl vyřešen odebráním podpory protokolu LEAP.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax, a Wim Lamotte z Hasseltské univezity
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Útočník s přístupem k zařízení může mít přístup k citlivým uživatelským údajům z protokolů.
Popis: Do protokolů se zapisovaly citlivé uživatelské údaje. Problém byl vyřešen protokolováním menšího množství informací.
CVE-ID
CVE-2014-4357: Heli Myllykoski ze skupiny OP-Pohjola Group
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Útočník s vysokými oprávněními v síti může zařízení přesvědčit o tom, že je aktuální, i když není.
Popis: Při zpracovávání reakcí na kontrolu aktualizací docházelo k problému s ověřováním. Pro kontroly parametru If-Modified-Since v následných žádostech o aktualizaci byla použita zfalšovaná data z hlaviček Last-Modified nastavených na budoucí data. Problém byl vyřešen ověřováním hlavičky Last-Modified.
CVE-ID
CVE-2014-4383: Raul Siles ze společnosti DinoSec
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Otevření škodlivého PDF souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání PDF souborů docházelo k přetečení celých čísel. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano ze společnosti Binamuse VRT ve spolupráci s programem iSIGHT Partners GVP
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Otevření škodlivého PDF souboru může vést k neočekávanému ukončení aplikace nebo k úniku informací.
Popis: Při zpracovávání PDF souborů docházelo ke čtení paměti mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano ze společnosti Binamuse VRT ve spolupráci s programem iSIGHT Partners GVP
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Ve zpracovávání argumentů API IOAcceleratorFamily docházelo k přístupu přes nulový ukazatel. Problém byl vyřešen vylepšeným ověřováním argumentů API IOAcceleratorFamily.
CVE-ID
CVE-2014-4369: Catherine (alias winocm) a Cererdlong z týmu Alibaba Mobile Security Team
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Zařízení se může nečekaně restartovat.
Popis: V ovladači IntelAccelerator existoval přístup přes nulový ukazatel. Problém byl vyřešen lepším zpracováváním chyb.
CVE-ID
CVE-2014-4373: cunzhang z týmu Adlab společnosti Venustech
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může číst ukazatele jádra, které lze použít k obejití náhodného rozvržení adresního prostoru jádra.
Popis: Při zpracovávání jedné funkce součástí IOHIDFamily docházelo k problému se čtením mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-4379: Ian Beer z týmu Google Project Zero
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.
Popis: Při zpracovávání vlastností mapování klíčů součástí IOHIDFamily docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-4404: Ian Beer z týmu Google Project Zero
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.
Popis: Ve zpracovávání vlastností mapování klíčů součástí IOHIDFamily existoval přístup přes nulový ukazatel. Problém byl vyřešen vylepšením ověřování vlastností mapování klíčů v součásti IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer z týmu Google Project Zero
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé aplikace můžou spouštět libovolný kód s oprávněními k jádru.
Popis: V rozšíření jádra IOHIDFamily docházelo k problému se zápisem mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-4380: cunzhang z týmu Adlab společnosti Venustech
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může číst neinicializovaná data z paměti jádra.
Popis: Při zpracovávání funkcí součásti IOKit docházelo k problému s neinicializovaným přístupem k paměti. Problém byl vyřešen vylepšenou inicializací paměti
CVE-ID
CVE-2014-4407: @PanguTeam
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.
Popis: Při zpracovávání určitých metadatových polí objektů IODataQueue docházelo k problému s ověřováním. Problém byl vyřešen vylepšením ověřování metadat.
CVE-ID
CVE-2014-4418: Ian Beer z týmu Google Project Zero
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.
Popis: Při zpracovávání určitých metadatových polí objektů IODataQueue docházelo k problému s ověřováním. Problém byl vyřešen vylepšením ověřování metadat.
CVE-ID
CVE-2014-4388: @PanguTeam
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.
Popis: Při zpracování funkcí IOKit docházelo k přetečení celých čísel. Problém byl vyřešen vylepšeným ověřováním argumentů rozhraní API součásti IOKit.
CVE-ID
CVE-2014-4389: Ian Beer z týmu Google Project Zero
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Místní uživatel může rozpoznat rozvržení paměti jádra.
Popis: V rozhraní síťových statistik existovalo několik problémů s neinicializovanou pamětí, které vedly ke zveřejnění obsahu paměti jádra. Problém byl vyřešen dodatečnou inicializací paměti.
CVE-ID
CVE-2014-4371: Fermin J. Serna z týmu Google Security
CVE-2014-4419: Fermin J. Serna z týmu Google Security
CVE-2014-4420: Fermin J. Serna z týmu Google Security
CVE-2014-4421: Fermin J. Serna z týmu Google Security
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Osoba s vysokými oprávněními v síti může způsobovat odepření služby.
Popis: Při zpracovávání paketů IPv6 docházelo ke konfliktu časování. Problém byl vyřešen vylepšením kontroly stavu zamčení.
CVE-ID
CVE-2011-2391 : Marc Heuse
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Místní uživatel může způsobit neočekávané ukončení systému nebo spuštění libovolného kódu v jádru.
Popis: Při zpracovávání portů Mach docházelo k problému s dvojitým uvolněním paměti. Problém byl vyřešen vylepšením ověřování portů Mach.
CVE-ID
CVE-2014-4375
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Místní uživatel může způsobit neočekávané ukončení systému nebo spuštění libovolného kódu v jádru.
Popis: Ve funkci rt_setgate docházelo k problému se čtením mimo rozsah. To mohlo vést ke zveřejnění nebo poškození paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-4408
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Může dojít k obejití některých opatření pro zvýšení zabezpečení jádra.
Popis: Starší generátor náhodných čísel používaný některými opatřeními pro zvýšení bezpečnosti jádra nebyl kryptograficky bezpečný a některé jeho výstupy byly vystaveny uživatelskému prostoru, což umožňovalo obejít bezpečnostní opatření. Problém byl vyřešen náhradou generátoru náhodných čísel za kryptograficky bezpečný algoritmus a použitím 16bajtového seedu.
CVE-ID
CVE-2014-4422: Tarjei Mandt ze společnosti Azimuth Security
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může spouštět libovolný kód s kořenovými oprávněnými.
Popis: V knihovně Libnotify docházelo k problému se zápisem mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-4381: Ian Beer z týmu Google Project Zero
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Místní uživatel může změnit oprávnění u libovolných souborů.
Popis: Při změně oprávnění souborů se příkaz syslogd řídil symbolickými odkazy. Problém byl vyřešen vylepšeným zpracováváním symbolických odkazů.
CVE-ID
CVE-2014-4372: Tielei Wang a YeongJin Jang ze střediska Georgia Tech Information Security Center (GTISC)
-
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Útočník s vysokými oprávněními v síti může způsobit něočekávané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2013-6663 : Atte Kettunen z OUSPG
CVE-2014-1384 : Apple
CVE-2014-1385 : Apple
CVE-2014-1387 : Tým Google Chrome Security
CVE-2014-1388 : Apple
CVE-2014-1389 : Apple
CVE-2014-4410 : Eric Seidel z Googlu
CVE-2014-4411 : Tým Google Chrome Security
CVE-2014-4412 : Apple
CVE-2014-4413 : Apple
CVE-2014-4414 : Apple
CVE-2014-4415 : Apple