Informace o bezpečnostním obsahu Apple TV 7.2

Tento dokument popisuje bezpečnostní obsah aktualizace Apple TV 7.2.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Apple TV 7.2

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.

    Popis: V objektech IOKit používaných zvukovým ovladačem docházelo k problémům s ověřováním. Problém byl vyřešen vylepšením ověřování metadat.

    CVE-ID

    CVE-2015-1086

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Aplikace využívající třídu NSXMLParser může být zneužita k úniku informací.

    Popis: Při zpracování XML třídou NSXMLParser docházelo k problému s externí XML entitou. Problém byl vyřešen tím, že se nenačítají externí entity napříč zdroji.

    CVE-ID

    CVE-2015-1092: Ikuya Fukumoto

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.

    Popis: V součásti IOAcceleratorFamily docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen odebráním nepotřebného kódu.

    CVE-ID

    CVE-2015-1094: Cererdlong z týmu Alibaba Mobile Security Team

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivé HID zařízení může způsobit spuštění libovolného kódu.

    Popis: V API rozšíření IOHIDFamily docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-1095: Andrew Church

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.

    Popis: V rozšíření IOHIDFamily docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2015-1096: Ilja van Sprundel ze společnosti IOActive

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.

    Popis: V součásti MobileFrameBuffer docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2015-1097: Barak Gabai z týmu IBM X-Force Application Security Research Team

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivá aplikace může způsobit systémové odmítnutí služby.

    Popis: V systémovém volání setreuid v jádru existoval konflikt časování. Problém byl vyřešen vylepšením správy stavu.

    CVE-ID

    CVE-2015-1099: Mark Mentovai ze společnosti Google Inc.

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivá aplikace může za pomoci kompromitované služby, která má běžet s nižšími oprávněními, navýšit svá oprávnění.

    Popis: Systémová volání setreuid a setregid neukončovala oprávnění natrvalo. Problém byl vyřešen správným ukončováním oprávnění.

    CVE-ID

    CVE-2015-1117: Mark Mentovai ze společnosti Google Inc.

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivá aplikace může způsobit neočekávané ukončení systému nebo číst paměť jádra.

    Popis: V jádru existoval problém s přístupem k paměti mimo rozsah. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-1100: Maxime Villard (m00nbsd)

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.

    Popis: V jádru existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-1101: lokihardt@ASRT ve spolupráci s iniciativou Zero Day Initiative společnosti HP

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Útočník s vysokými oprávněními v síti může způsobit odmítnutí služby.

    Popis: Ve zpracovávání hlaviček TCP existoval problém s nekonzistentností stavů. Problém byl vyřešen vylepšením zpracovávání stavů.

    CVE-ID

    CVE-2015-1102: Andrey Khudyakov a Maxim Zhuravlev ze společnosti Kaspersky Lab

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Útočník s vysokými oprávněními v síti může přesměrovávat datové přenosy uživatelů na libovolné hostitele.

    Popis: Přesměrování ICMP byla v iOS ve výchozím nastavení zapnutá. Problém byl vyřešen vypnutím přesměrování ICMP.

    CVE-ID

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Vzdálený útočník může obejít síťové filtry.

    Popis: Systém považoval některé pakety IPv6 z rozhraní vzdálených sítí za místní pakety. Problém byl vyřešen odmítnutím těchto paketů.

    CVE-ID

    CVE-2015-1104: Stephen Roettger z týmu Google Security

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Vzdálený útočník může způsobit odmítnutí služby.

    Popis: Ve zpracovávání mimopásmových dat TCP existoval problém s nekonzistentností stavů. Problém byl vyřešen vylepšením správy stavu.

    CVE-ID

    CVE-2015-1105: Kenton Varda (Sandstorm.io)

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Zpracování škodlivého konfiguračního profilu může vést k neočekávanému ukončení aplikace.

    Popis: Při manipulaci s konfiguračními soubory docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang a Tao Wei ze společnosti FireEye, Inc.

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Při stahování materiálů k podcastům můžou být na externí servery odesílány zbytečné informace.

    Popis: Při stahování materiálů k podcastům, k jejichž odběru byl uživatel přihlášen, byly na externí servery odesílány jedinečné identifikátory. Problém byl vyřešen odstraněním těchto identifikátorů.

    CVE-ID

    CVE-2015-1110: Alex Selivanov

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Aplikace jiných výrobců můžou získat přístup k identifikátorům hardwaru.

    Popis: V sandboxu aplikací jiných výrobců existoval problém s únikem informací. Problém byl vyřešen vylepšením profilu sandboxu.

    CVE-ID

    CVE-2015-1114

  • Apple TV

    K dispozici pro: Apple TV 3. generace a novější

    Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2015-1068: Apple

    CVE-2015-1069: lokihardt@ASRT ve spolupráci s iniciativou Zero Day Initiative společnosti HP

    CVE-2015-1070: Apple

    CVE-2015-1071: Apple

    CVE-2015-1072

    CVE-2015-1073: Apple

    CVE-2015-1074: Apple

    CVE-2015-1076

    CVE-2015-1077: Apple

    CVE-2015-1078: Apple

    CVE-2015-1079: Apple

    CVE-2015-1080: Apple

    CVE-2015-1081: Apple

    CVE-2015-1082: Apple

    CVE-2015-1083: Apple

    CVE-2015-1119: Renata Hodovanová ze Szegedské univerzity / Samsung Electronics

    CVE-2015-1120: Apple

    CVE-2015-1121: Apple

    CVE-2015-1122: Apple

    CVE-2015-1123: Randy Luecke a Anoop Menon ze společnosti Google Inc.

    CVE-2015-1124: Apple

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: