Om sikkerhedsindholdet i Apple TV 7.2.1

I dette dokument beskrives sikkerhedsindholdet i Apple TV 7.2.1.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du gå ind på webstedet Apple Produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple Produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Apple TV 7.2.1

  • bootp

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Et skadeligt Wi-Fi-netværk kan muligvis registrere netværk, som en enhed tidligere har oprettet adgang til

    Beskrivelse: Efter oprettelse af forbindelse til et Wi-Fi-netværk kan iOS via DNAv4-protokollen udsende MAC-adresser på netværk, som enheden tidligere har oprettet forbindelse til. Problemet er løst ved at slå DNAv4 fra på Wi-Fi-netværk, der ikke er krypterede.

    CVE-id

    CVE-2015-3778: Piers O'Hanlon fra Oxford Internet Institute, University of Oxford (ifm. projekt EPSRC Being There)

  • CloudKit

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Et skadeligt program kan muligvis få adgang til iCloud-brugerposten for en bruger, der tidligere har været logget ind

    Beskrivelse: Der var en tilstandsinkonsistens i CloudKit, når brugerne blev logget ud. Problemet er løst ved forbedret statusbehandling.

    CVE-id

    CVE-2015-3782: Deepkanwal Plaha fra University of Toronto

  • CFPreferences

    Tilgængelig for: Apple TV (3. generation)

    Effekt: En skadelig app kan muligvis læse styrede indstillinger for andre apps

    Beskrivelse: Der var problemer med sandbox for en app fra en anden producent. Problemet er løst ved at forbedre sandbox-profilen.

    CVE-id

    CVE-2015-3793: Andreas Weinlein fra Appthority Mobility Threat Team

  • Kodesignering

    Tilgængelig for: Apple TV (3. generation)

    Effekt: En skadelig app kan muligvis køre usigneret kode

    Beskrivelse: Der var et problem, som medførte, at usigneret kode kunne føjes til signeret kode i et særligt tilpasset eksekverbart arkiv. Problemet er løst ved forbedret kodesignaturgodkendelse.

    CVE-id

    CVE-2015-3806: TaiG Jailbreak Team

  • Kodesignering

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Et særligt tilpasset eksekverbart arkiv kunne gøre det muligt, at der blev kørt usigneret, skadelig kode

    Beskrivelse: Der var et problem med den måde, eksekverbare arkiver med multiarkitektur (MAB) blev kontrolleret på, som kunne medføre, at der blev kørt usigneret kode. Problemet er løst ved forbedret godkendelse af .pict-arkiver.

    CVE-id

    CVE-2015-3803: TaiG Jailbreak Team

  • Kodesignering

    Tilgængelig for: Apple TV (3. generation)

    Effekt: En lokal bruger kan muligvis køre usigneret kode

    Beskrivelse: Der var et godkendelsesproblem ved behandling af Mach-O-arkiver. Problemet er løst ved at indføre yderligere kontroller.

    CVE-id

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Afspilning af CoreMedia

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i CoreMedia Playback. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team 

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Behandling af et skadeligt DMG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af skadelige DMG-billeder. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3800: Frank Graziano fra Yahoo Pentest Team

  • FontParser

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Behandling af et skadeligt .tiff-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af .tiff-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5758: Apple

  • ImageIO

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Parsing af skadeligt webindhold kan resultere i afsløring af proceshukommelse

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved ImageIO-behandling af PNG-billeder. Problemet er løst ved forbedret initialisering af hukommelsen samt yderligere godkendelse af PNG-billeder.

    CVE-id

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Parsing af skadeligt webindhold kan resultere i afsløring af proceshukommelse

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved ImageIO-behandling af TIFF-billeder. Problemet er løst ved forbedret initialisering af hukommelsen samt yderligere godkendelse af TIFF-billeder.

    CVE-id

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Parsing af et skadeligt plist-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skadelige plist-arkiver. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-3776: Teddy Reed fra Facebook Security, Patrick Stein (@jollyjinx) fra Jinx Germany

  • IOHIDFamily

    Tilgængelig for: Apple TV (3. generation)

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med bufferoverløb i IOHIDFamily. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Et skadeligt program kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem i mach_port_space_info, som kunne have medført afsløring af kernehukommelsens opsætning. Problemet er løst ved at deaktivere grænsefladen mach_port_space_info.

    CVE-id

    CVE-2015-3766: Cererdlong fra Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af IOKit-funktions. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.

    CVE-id

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Behandling af et skadeligt regulært udtryk kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i TRE-biblioteket. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3796: Ian Beer fra Google Project Zero

    CVE-2015-3797: Ian Beer fra Google Project Zero

    CVE-2015-3798: Ian Beer fra Google Project Zero

  • Libinfo

    Tilgængelig for: Apple TV (3. generation)

    Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af AF_INET6-sockets. Problemet er løst ved forbedret hukommelsesbehandling.

    CVE-id

    CVE-2015-5776: Apple

  • libpthread

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af systemkald. Problemet er løst ved forbedret kontrol af låsefunktionen.

    CVE-id

    CVE-2015-5757: Lufeng Li fra Qihoo 360

  • libxml2

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Parsing af et skadeligt XML-dokument kan medføre afsløring af brugeroplysninger

    Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af XML-arkiver. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Der var flere sikkerhedshuller i libxml2-versionerne før 2.9.2, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre et DoS-angreb

    Beskrivelse: Der var flere sikkerhedshuller i libxml2-versionerne før 2.9.2. Problemerne er løst ved at opdatere libxml2 til version 2.9.2.

    CVE-id

    CVE-2012-6685: Felix Groebert fra Google

    CVE-2014-0191: Felix Groebert fra Google

    CVE-2014-3660: Felix Groebert fra Google

  • libxpc

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skadelige XPC-meddelelser. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-3795: Mathew Rowley

  • libxslt

    Tilgængelig for: Apple TV (4. generation)

    Effekt: Behandling af XML med ondsindet kode kan føre til vilkårlig kørsel af kode

    Beskrivelse: Der var et typeforvekslingsproblem i libxslt. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-7995 : puzzor

  • Lokalitets-framework

    Tilgængelig for: Apple TV (3. generation)

    Effekt: En lokal bruger kan muligvis ændre beskyttede dele af arkivsystemet

    Beskrivelse: Der var et problem med symbolske henvisninger, som er løst ved forbedret stigodkendelse.

    CVE-id

    CVE-2015-3759: Cererdlong fra Alibaba Mobile Security Team

  • Office Viewer

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Parsing af et skadeligt XML-dokument kan medføre afsløring af brugeroplysninger

    Beskrivelse: Der var et problem med en ekstern entitetsreference ved XML-parsing. Problemet er løst ved forbedret parsing.

    CVE-id

    CVE-2015-3784: Bruno Morisson fra INTEGRITY S.A. 

  • QL Office

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Parsing af et skadeligt Office-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af Office-dokumenter. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5773: Apple

  • Sandbox_profiles

    Tilgængelig for: Apple TV (3. generation)

    Effekt: En skadelig app kan muligvis læse styrede indstillinger for andre apps

    Beskrivelse: Der var problemer med sandbox for en app fra en anden producent. Problemet er løst ved at forbedre sandbox-profilen.

    CVE-id

    CVE-2015-5749: Andreas Weinlein fra Appthority Mobility Threat Team

  • WebKit

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Behandling af skadeligt webindhold kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Skadeligt webindhold kan eksfiltrere billeddata på tværs af oprindelsessteder

    Beskrivelse: Billeder, der er hentet via URL-adresser, som omdirigerer til en data:image-ressource, kan være eksfiltreret på tværs af oprindelsessteder. Problemet er løst ved forbedret sporing af "canvas taint".

    CVE-id

    CVE-2015-3753: Antonio Sanso og Damien Antipa fra Adobe

  • WebKit

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Skadeligt webindhold kan udløse klartekstforespørgsler til et oprindelsessted under HSTS (HTTP Strict Transport Security)

    Beskrivelse: Der var et problem med, at Content Security Policy-rapportforespørgsler ikke ville acceptere HSTS (HTTP Strict Transport Security). Problemet er løst ved at anvende HSTS på CSP.

    CVE-id

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Content Security Policy-rapportforespørgsler kan lække cookies

    Beskrivelse: Der var to problemer med, hvordan cookies blev føjet til Content Security Policy-rapportforespørgsler. Cookies blev sendt i rapportforespørgsler på tværs af oprindelsessteder i modstrid med standarden. Cookies, der er arkiveret under almindelig brug af browseren, blev sendt under brug af funktionen Privat browser. Problemerne er løst ved forbedret cookiebehandling.

    CVE-id

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Tilgængelig for: Apple TV (3. generation)

    Effekt: Billedindlæsning kunne udgøre en overtrædelse af et websteds Content Security Policy-instruks

    Beskrivelse: Der var et problem med, at behandling af webindhold med videobetjeningselementer indlæste billeder indlejret i objektelementer i modstrid med webstedets Content Security Policy-instruks. Problemet er løst ved forbedret gennemførelse af Content Security Policy.

    CVE-id

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: