Denne artikel er blevet arkiveret og opdateres ikke længere af Apple.

Om sikkerhedsindholdet i Apple TV-softwareopdatering 4.4

I dette dokument beskrives sikkerhedsindholdet i Apple TV-softwareopdatering 4.4.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer.

Softwareopdatering 4.4 til Apple TV

  • Apple TV

    Fås til: Apple TV 4.0-4.3

    Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange brugeroplysninger eller andre følsomme oplysninger

    Beskrivelse: Svigagtige certifikater blev udstedt af flere certificeringsautoriteter, der er drevet af DigiNotar. Problemet er løst ved at fjerne DigiNotar fra listen over godkendte rodcertifikater, fra listen over certificeringsautoriteter med EV (Extended Validation) og ved at konfigurere standardgodkendelsesindstillinger for systemet, så DigiNotars certifikater, herunder dem, der er udstedt af andre autoriteter, ikke kan godkendes.

  • Apple TV

    Fås til: Apple TV 4.0-4.3

    Effekt: Understøttelse af X.509-certifikater med MD5-hashes kan udsætte brugere for spoofing og afsløring af oplysninger, efterhånden som angreb forbedres

    Beskrivelse: Certifikater, der er signeret ved hjælp af MD5-hash-algoritmen blev accepteret af iOS. Algoritmen har krypteringsmæssige svagheder. Yderligere undersøgelse eller en forkert konfigureret certifikatmyndighed kan have tilladt oprettelsen af X.509-certifikater med værdier, der kontrolleres af hackeren, og som ville være blevet godkendt af systemet. Dette kunne have udsat X.509-baserede protokoller for spoofing, MITM-angreb og afsløring af oplysninger. Denne opdatering deaktiverer understøttelse af et X.509-certifikat med et MD5-hash til enhver anden brug end som et godkendt rodcertifikat.

    CVE-id

    CVE-2011-3427

  • Apple TV

    Fås til: Apple TV 4.0-4.3

    Effekt: En hacker kan muligvis dekryptere dele af en SSL-forbindelse

    Beskrivelse: Kun SSLv3- og TLS 1.0-versionerne af SSL blev understøttet. Versionerne har en protokolsvaghed, når der bruges blokkodning. En MITM-hacker kunne have indsat ugyldige data, hvilket ville få forbindelsen til at blive afbrudt, men afsløre nogle oplysninger om de foregående data. Hvis samme forbindelse blev angrebet gentagne gange, kan hackeren have været i stand til at dekryptere de sendte data – f.eks. en adgangskode. Dette problem løses ved at tilføje understøttelse af TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    Fås til: Apple TV 4.0-4.3

    Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i libTIFFs håndtering af CCITT Group 4-kodede TIFF-billeder.

    CVE-ID

    CVE-2011-0192: Apple

  • Apple TV

    Fås til: Apple TV 4.0-4.3

    Effekt: Visning af et skadeligt TIFF-billede kan føre til pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et heap-bufferoverløb i ImageIOs håndtering af CCITT Group 4-kodede TIFF-billeder.

    DVE-id

    CVE-2011-0241 : Cyril CATTIAUX fra Tessi Technologies

  • Apple TV

    Fås til: Apple TV 4.0-4.3

    Effekt: En hacker med fjernadgang kan forårsage nulstilling af enheden

    Beskrivelse: Kernen kunne ikke genvinde hukommelse fra ufuldstændige TCP-forbindelser med det samme. En hacker med evnen til at skabe forbindelse til en lyttetjeneste på en iOS-enhed kan muligvis udmatte systemressourcer.

    CVE-id

    CVE-2011-3259 : Wouter van der Veer fra Topicus I&I, og Josh Enders

  • Apple TV

    Fås til: Apple TV 4.0-4.3

    Effekt: En hacker i en privilegeret netværksposition kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et heap-bufferoverløb på en byte i libxmls håndtering af XML-data.

    CVE-id

    CVE-2011-0216 : Billy Rios fra Google Security Team

  • Apple TV

    Fås til: Apple TV 4.0-4.3

    Effekt: En hacker i en privilegeret netværksposition kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et problem med beskadiget hukommelse i JavaScriptCore.

    CVE-id

    CVE-2011-3232 : Aki Helin fra OUSPG

Vigtigt: Omtale af tredjepartswebsteder og -produkter er kun til orientering og udgør hverken en godkendelse eller en anbefaling. Apple påtager sig intet ansvar med hensyn til udvælgelse, ydeevne eller brug af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple leverer kun dette som en bekvemmelighed for vores brugere. Apple har ikke testet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer om deres nøjagtighed eller pålidelighed. Der er risici forbundet med brugen af oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne henseende. Vær opmærksom på, at et tredjepartswebsted er uafhængigt af Apple, og at Apple ikke har kontrol over indholdet på det pågældende websted. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: