Om sikkerhedsindholdet i Apple TV 7.0.3
I dette dokument beskrives sikkerhedsindholdet i Apple TV 7.0.3.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
Apple TV 7.0.3
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En skadelig afc-kommando kan give adgang til beskyttede dele af arkivsystemet
Beskrivelse: Der var en sårbarhed i afc's symbolske tilknytningsmekanisme. Dette problem blev løst ved at tilføje yderligere stikontroller.
CVE-ID
CVE-2014-4480: TaiG Jailbreak Team
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et heltalsoverløb i forbindelse med håndteringen af PDF-arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano fra Binamuse VRT, via iSIGHT Partners GVP Program
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En lokal bruger kan muligvis køre usigneret kode
Beskrivelse: Der var et problem med statushåndtering i forbindelse med håndtering af eksekverbare Mach-O-arkiver med overlappende segmenter. Problemet blev løst via forbedret godkendelse af segmentstørrelser
CVE-ID
CVE-2014-4455: TaiG Jailbreak Team
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløb i forbindelse med håndteringen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4483: Apple
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Beskrivelse: Behandling af et skadeligt .dfont-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i forbindelse med håndteringen af .dfont-arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4484: Gaurav Baruah, som arbejder for HP's Zero Day Initiative
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Visning af et skadeligt XML-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløb i XML-parseren. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4485: Apple
Apple TV
Fås til: Apple, TV 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var en reference til en null-pointer i forbindelse med håndteringen af ressourcelister i IOAcceleratorFamily. Problemet er løst ved at fjerne unødvendig kode.
CVE-ID
CVE-2014-4486: Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et bufferoverløb i IOHIDFamily. Problemet er løst via forbedret godkendelse af størrelse.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem i forbindelse med håndteringen af ressourcekøers metadata i IOHIDFamily. Problemet er løst ved forbedret godkendelse af metadata.
CVE-ID
CVE-2014-4488: Apple
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var en reference til en null-pointer i forbindelse med håndteringen af begivenhedskøer i IOHIDFamily. Problemet er løst ved forbedret godkendelse.
CVE-ID
CVE-2014-4489: @beist
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Skadelige eller kompromitterede iOS-programmer kan muligvis se adresser i kernen
Beskrivelse: Der var et problem med afsløring af oplysninger i forbindelse med håndteringen af API'er relateret til kerneudvidelser. Svar, der indeholder en OSBundleMachOHeaders-nøgle, har muligvis inkluderet kerneadresser, som kan hjælpe med at omgå randomiseringsbeskyttelse af adresserummets layout. Problemet er løst ved at sikre adresserne, før de returneres.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem i undersystemets delte kernehukommelse, som gjorde det muligt for en hacker at skrive i hukommelsen, der burde have været skrivebeskyttet. Dette problem blev løst med en strengere kontrol af tilladelser til delt hukommelse.
CVE-ID
CVE-2014-4495: Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Skadelige eller kompromitterede iOS-programmer kan muligvis se adresser i kernen
Beskrivelse: Kernegrænsefladen mach_port_kobject lækkede kerneadresser og værdien for heap-permutation, hvilket kan bruges til at omgå ASLR-beskyttelse (Address Space Layout Randomization). Dette blev løst ved at deaktivere mach_port_kobject-grænsefladen i produktionskonfigurationer.
CVE-ID
CVE-2014-4496: TaiG Jailbreak Team
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: En skadelig sandbox-app kan kompromittere networkd daemon
Beskrivelse: Der var flere problemer med forveksling af typer i forbindelse med håndteringen af kommunikation mellem processer i networkd. Når der sendes en skadelig meddelelse til networkd, kan der muligvis køres vilkårlig kode som networkd-processen. Problemet blev løst via yderligere typekontrol.
CVE-ID
CVE-2014-4492: Ian Beer fra Google Project Zero
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Formatark indlæses på tværs af oprindelsessteder, hvilket kan give mulighed for eksfiltrering af data
Beskrivelse: Et SVG-objekt, der er indlæst i et IMG-element, kan indlæse et CSS-arkiv på tværs af oprindelsessteder. Problemet er løst ved forbedret blokering af eksterne CSS-referencer i SVG-objekter.
CVE-ID
CVE-2014-4465: Rennie deGraaf fra iSEC Partners
Apple TV
Fås til: Apple TV, 3. generation og nyere modeller
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-ID
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative
CVE-2014-4479: Apple
Apple TV
Fås til: iPhone 4s, iPod touch (5. generation), iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Kerberos libgssapi-biblioteket returnerede et konteksttoken med en hængende markør. Problemet blev løst gennem forbedret statusadministration.
CVE-ID
CVE-2014-5352
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.