Sikkerhedsindholdet i Apple TV 7.0.3

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i Apple TV 7.0.3.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Apple TV 7.0.3

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: En skadelig afc-kommando kan give adgang til beskyttede dele af arkivsystemet

    Beskrivelse: Der var et sikkerhedsproblem med den symbolske forbindelsesmekanisme i afc. Problemet er løst ved at tilføje yderligere stikontroller.

    CVE-id

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4481: Felipe Andres Manzano fra Binamuse VRT, som arbejder for iSIGHT Partners GVP-programmet

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: En lokal bruger kan muligvis køre usigneret kode

    Beskrivelse: Der var et administrationsproblem ved behandlingen af Mach-O-arkiver, der kan udføres og har overlappende segmenter. Problemet er løst ved forbedret godkendelse af segmentstørrelser.

    CVE-id

    CVE-2014-4455: TaiG Jailbreak Team

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved håndteringen af skriftarkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4483: Apple

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af .dfont-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4484: Gaurav Baruah, som arbejder for HP's Zero Day Initiative

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Visning af et skadeligt XML-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i XML-parseren. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4485: Apple

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer ved IOAcceleratorFamily-behandlingen af ressourcelister. Problemet er løst ved at fjerne unødvendig kode.

    CVE-id

    CVE-2014-4486: Ian Beer fra Google Project Zero

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløb i IOHIDFamily. Problemet er løst ved forbedret størrelsesgodkendelse.

    CVE-id

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem i IOHIDFamily-behandlingen af metadata i ressourcekøen. Problemet er løst ved forbedret godkendelse af metadata.

    CVE-id

    CVE-2014-4488: Apple

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer ved IOHIDFamily-behandlingen af hændelseskøer. Problemet er løst ved forbedret godkendelse.

    CVE-id

    CVE-2014-4489: @beist

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: iOS-programmer, som der er foretaget skadelige ændringer i, kan finde frem til kernens adresse

    Beskrivelse: Der var et problem med afsløring af oplysninger ved behandling af API'er, der har forbindelse til kerneudvidelser. Svar indeholdende en OSBundleMachOHeaders-nøgle kan have medtaget kerneadresser, som kan medvirke til at omgå beskyttelse af randomisering af adressemellemrumslayout. Problemet er løst ved at sikre adresserne, før de returneres.

    CVE-id

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med undersystemet til delt kernehukommelse, der gjorde det muligt for en hacker at skrive til hukommelse, der skulle være skrivebeskyttet. Problemet er løst ved strengere kontrol af tilladelser til delt hukommelse.

    CVE-id

    CVE-2014-4495: Ian Beer fra Google Project Zero

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: iOS-programmer, som der er foretaget skadelige ændringer i, kan finde frem til kernens adresse

    Beskrivelse: Kernegrænsefladen mach_port_kobject afgav kerneadresser og værdier for permutationsheap, som kan medvirke til at omgå beskyttelse af randomisering af adressemellemrumslayout. Problemet er løst ved at deaktivere grænsefladen mach_port_kobject i produktkonfigurationer.

    CVE-id

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Et skadeligt sandbox-program kan skade sikkerheden i networkd-daemon

    Beskrivelse: Der var flere problemer med typeforveksling i networkd-behandlingen af kommunikation mellem processer. Ved at sende en meddelelse i et skadeligt format til networkd kunne der køres vilkårlig kode som networkd-processen. Problemet er løst ved forbedret kontrol af typer.

    CVE-id

    CVE-2014-4492: Ian Beer fra Google Project Zero

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Skriftsnitark indlæses som cross-origin-element, hvilket kan medføre uautoriseret dataoverførsel

    Beskrivelse: Et SVG-objekt, der er indlæst i et img-element, kunne indlæse et CSS-arkiv som et cross-origin-element. Problemet er løst ved forbedret blokering af eksterne CSS-referencer i SVG-objekter.

    CVE-id

    CVE-2014-4465: Rennie deGraaf fra iSEC Partners

  • Apple TV

    Fås til: Apple TV (3. generation) og nyere modeller

    Effekt: Et besøg på et skadeligt udformet websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative

    CVE-2014-4479: Apple

  • Apple TV

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Kerberos-biblioteket libgssapi returnerede en konteksttoken med en urelateret pointer. Problemet er løst ved forbedret funktionsstyring.

    CVE-id

    CVE-2014-5352

  •  

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: