Om sikkerhedsindholdet i Apple TV 7
I dette dokument beskrives sikkerhedsindholdet i Apple TV 7.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
Apple TV 7
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En angriber kan opnå Wi-Fi-legitimationsoplysninger
Beskrivelse: En angriber kan have efterlignet et Wi-Fi-adgangspunkt, tilbudt at godkende med LEAP, brudt MS-CHAPv1-hashen og brugt de afledte legitimationsoplysninger til at godkende til det tilsigtede adgangspunkt, selvom dette adgangspunkt understøttede stærkere godkendelsesmetoder. Problemet er løst ved at fjerne understøttelse af LEAP.
CVE-id
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax og Wim Lamotte fra Universiteit Hasselt
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En angriber med adgang til en enhed kan få adgang til følsomme brugeroplysninger fra logarkiver
Beskrivelse: Følsomme brugeroplysninger blev logført. Problemet blev løst ved at logføre færre oplysninger.
CVE-id
CVE-2014-4357: Heli Myllykoski fra OP-Pohjola Group
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En angriber med en privilegeret netværksposition kan muligvis få en enhed til at tro, at den er opdateret, selv når den ikke er
Beskrivelse: Der var et valideringsproblem i håndteringen af opdateringskontrolsvar. Falske datoer fra Last-Modified-svarheadere var sat til fremtidige datoer og blev brugt til If-Modified-Since-kontroller ved efterfølgende opdateringsforespørgsler. Problemet er løst ved godkendelse af Last-Modified-headeren.
CVE-id
CVE-2014-4383: Raul Siles fra DinoSec
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et heltalsoverløb i forbindelse med håndteringen af PDF-arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4377: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Åbning af et skadeligt PDF-arkiv kan føre til en uventet programafslutning eller en videregivelse af oplysninger
Beskrivelse: Der var en hukommelseslæsning uden for grænserne i håndteringen af PDF-arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4378: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller Effekt: Et program kan forårsage en uventet systemafslutning Beskrivelse: Der var en null pointer-reference i håndteringen af IOAcceleratorFamily API-argumenter. Dette problem blev løst gennem forbedret validering af IOAcceleratorFamily API-argumenter. CVE-idCVE-2014-4369: Sarah aka winocm og Cererdlong fra Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
Apple TV, 3. generation og nyere modeller
Effekt: Enheden genstarter muligvis uventet
Beskrivelse: En NULL pointer-reference var til stede i IntelAccelerator-driveren. Problemet er løst ved forbedret behandling af fejl.
CVE-id
CVE-2014-4373: cunzhang fra Adlab hos Venustech
Apple TV
Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis læse kernepointere, som kan bruges til at omgå randomisering af kerneadresserumslayout
Beskrivelse: Der var et problem med læsning uden for grænserne i håndteringen af en IOHIDFamily-funktion. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4379: Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et heap-bufferoverløb i IOHIDFamilys håndtering af key-mapping-egenskaber. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4404: Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var en reference til en null-pointer i forbindelse med håndteringen af key-mapping-egenskaber i IOHIDFamily. Problemet er løst ved forbedret godkendelse af key-mapping-egenskaberne for IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et skriveproblem uden for grænserne i IOHIDFamily-kerneudvidelsen. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4380: cunzhang fra Adlab hos Venustech
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis læse ikke-initialiserede data fra kernehukommelsen
Beskrivelse: Der var et problem med uinitialiseret hukommelsesadgang i håndteringen af IOKit-funktioner. Problemet er løst via forbedret hukommelsesinitialisering
CVE-id
CVE-2014-4407: @PanguTeam
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem i håndteringen af visse metadatafelter for IODataQueue-objekter. Problemet er løst ved forbedret godkendelse af metadata.
CVE-id
CVE-2014-4418: Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem i håndteringen af visse metadatafelter for IODataQueue-objekter. Problemet er løst ved forbedret godkendelse af metadata.
CVE-id
CVE-2014-4388: @PanguTeam
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder
Beskrivelse: Der blev fundet et heltalsoverløb i håndteringen af IOKit-funktioner. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.
CVE-ID
CVE-2014-4389 : Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En lokal bruger kan se opsætningen af kernehukommelsen
Beskrivelse: Der er var flere ikke-initialiserede hukommelsesproblemer i netværkets statistikgrænseflade, der førte til afsløring af kernens hukommelsesindhold. Problemet er løst ved yderligere hukommelsesinitialisering.
CVE-ID
CVE-2014-4371 : Fermin J. Serna fra Google Security Team
CVE-2014-4419 : Fermin J. Serna fra Google Security Team
CVE-2014-4420 : Fermin J. Serna fra Google Security Team
CVE-2014-4421 : Fermin J. Serna fra Google Security Team
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En person i en privilegeret netværksposition kan forårsage et Denial of Service-angreb
Beskrivelse: Der var et problem med en konkurrencetilstand i håndteringen af IPv6-pakker. Problemet er løst ved forbedret kontrol af låsefunktionen.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En lokal bruger kan muligvis forårsage en uventet systemafslutning eller kørsel af vilkårlig kode i kernen
Beskrivelse: Der var et double free-problem i håndteringen af Mach-porte. Problemet er løst ved forbedret godkendelse af Mach-porte.
CVE-id
CVE-2014-4375
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En lokal bruger kan muligvis forårsage en uventet systemafslutning eller kørsel af vilkårlig kode i kernen
Beskrivelse: Der var et læseproblem uden for grænserne i rt_setgate. Det kunne medføre afsløring af oplysninger eller beskadiget hukommelse. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4408
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Nogle foranstaltninger til kernehærdning kan omgås
Beskrivelse: Den "tidlige" tilfældige talgenerator, der blev brugt i nogle foranstaltninger til kernehærdning, var ikke kryptografisk sikker, og noget af dens output blev eksponeret for brugerplads, hvilket gjorde det muligt at omgå foranstaltninger til kernehærdning. Problemet er løst ved at udskifte generatoren af vilkårlige tal med en kryptografisk sikker algoritme og ved at bruge et basistal på 16 byte.
CVE-id
CVE-2014-4422: Tarjei Mandt fra Azimuth Security
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder
Beskrivelse: Der var et skriveproblem uden for grænserne i Libnotify. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4381: Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En lokal bruger kan muligvis ændre tilladelser på vilkårlige arkiver
Beskrivelse: syslogd fulgte symbolske links, mens tilladelser på arkiver blev ændret. Problemet er løst ved forbedret behandling af symbolske henvisninger.
CVE-id
CVE-2014-4372: Tielei Wang og YeongJin Jang fra Georgia Tech Information Security Center (GTISC)
Apple TV
Fås til: Apple TV 3. generation og nyere modeller
Virkning: En angriber med en privilegeret netværksposition kan forårsage en uventet programafslutning eller vilkårlig kodeudførelse
Beskrivelse: Der var flere problemer med hukommelseskorruption i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2013-6663: Atte Kettunen fra OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel fra Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.