Informace o bezpečnostním obsahu Apple TV 7.2
Tento dokument popisuje bezpečnostní obsah aktualizace Apple TV 7.2.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Apple TV 7.2
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.
Popis: V objektech IOKit používaných zvukovým ovladačem docházelo k problémům s ověřováním. Problém byl vyřešen vylepšením ověřování metadat.
CVE-ID
CVE-2015-1086
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Aplikace využívající třídu NSXMLParser může být zneužita k úniku informací.
Popis: Při zpracování XML třídou NSXMLParser docházelo k problému s externí XML entitou. Problém byl vyřešen tím, že se nenačítají externí entity napříč zdroji.
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.
Popis: V součásti IOAcceleratorFamily docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen odebráním nepotřebného kódu.
CVE-ID
CVE-2015-1094: Cererdlong z týmu Alibaba Mobile Security Team
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé HID zařízení může způsobit spuštění libovolného kódu.
Popis: V API rozšíření IOHIDFamily docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2015-1095: Andrew Church
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.
Popis: V rozšíření IOHIDFamily docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2015-1096: Ilja van Sprundel ze společnosti IOActive
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.
Popis: V součásti MobileFrameBuffer docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2015-1097: Barak Gabai z týmu IBM X-Force Application Security Research Team
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může způsobit systémové odmítnutí služby.
Popis: V systémovém volání setreuid v jádru existoval konflikt časování. Problém byl vyřešen vylepšením správy stavu.
CVE-ID
CVE-2015-1099: Mark Mentovai ze společnosti Google Inc.
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může za pomoci kompromitované služby, která má běžet s nižšími oprávněními, navýšit svá oprávnění.
Popis: Systémová volání setreuid a setregid neukončovala oprávnění natrvalo. Problém byl vyřešen správným ukončováním oprávnění.
CVE-ID
CVE-2015-1117: Mark Mentovai ze společnosti Google Inc.
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivá aplikace může způsobit neočekávané ukončení systému nebo číst paměť jádra.
Popis: V jádru existoval problém s přístupem k paměti mimo rozsah. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2015-1100: Maxime Villard (m00nbsd)
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Škodlivé aplikace můžou spouštět libovolný kód se systémovými oprávněními.
Popis: V jádru existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2015-1101: lokihardt@ASRT ve spolupráci s iniciativou Zero Day Initiative společnosti HP
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Útočník s vysokými oprávněními v síti může způsobit odmítnutí služby.
Popis: Ve zpracovávání hlaviček TCP existoval problém s nekonzistentností stavů. Problém byl vyřešen vylepšením zpracovávání stavů.
CVE-ID
CVE-2015-1102: Andrey Khudyakov a Maxim Zhuravlev ze společnosti Kaspersky Lab
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Útočník s vysokými oprávněními v síti může přesměrovávat datové přenosy uživatelů na libovolné hostitele.
Popis: Přesměrování ICMP byla v iOS ve výchozím nastavení zapnutá. Problém byl vyřešen vypnutím přesměrování ICMP.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Vzdálený útočník může obejít síťové filtry.
Popis: Systém považoval některé pakety IPv6 z rozhraní vzdálených sítí za místní pakety. Problém byl vyřešen odmítnutím těchto paketů.
CVE-ID
CVE-2015-1104: Stephen Roettger z týmu Google Security
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Vzdálený útočník může způsobit odmítnutí služby.
Popis: Ve zpracovávání mimopásmových dat TCP existoval problém s nekonzistentností stavů. Problém byl vyřešen vylepšením správy stavu.
CVE-ID
CVE-2015-1105: Kenton Varda (Sandstorm.io)
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Zpracování škodlivého konfiguračního profilu může vést k neočekávanému ukončení aplikace.
Popis: Při manipulaci s konfiguračními soubory docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang a Tao Wei ze společnosti FireEye, Inc.
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Při stahování materiálů k podcastům můžou být na externí servery odesílány zbytečné informace.
Popis: Při stahování materiálů k podcastům, k jejichž odběru byl uživatel přihlášen, byly na externí servery odesílány jedinečné identifikátory. Problém byl vyřešen odstraněním těchto identifikátorů.
CVE-ID
CVE-2015-1110: Alex Selivanov
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Aplikace jiných výrobců můžou získat přístup k identifikátorům hardwaru.
Popis: V sandboxu aplikací jiných výrobců existoval problém s únikem informací. Problém byl vyřešen vylepšením profilu sandboxu.
CVE-ID
CVE-2015-1114
Apple TV
K dispozici pro: Apple TV 3. generace a novější
Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.
Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT ve spolupráci s iniciativou Zero Day Initiative společnosti HP
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovanová ze Szegedské univerzity / Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke a Anoop Menon ze společnosti Google Inc.
CVE-2015-1124: Apple
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.