Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας της Ενημέρωσης λογισμικού Apple TV 4.4
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης λογισμικού Apple TV 4.4.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.
Ενημέρωση λογισμικού Apple TV 4.4
Apple TV
Διατίθεται για: Apple TV 4.0 έως 4.3
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να υποκλέψει τα διαπιστευτήρια χρήστη ή άλλες ευαίσθητες πληροφορίες
Περιγραφή: Εκδόθηκαν πλαστά πιστοποιητικά από πολλές αρχές έκδοσης πιστοποιητικών που διαχειρίζεται η DigiNotar. Αυτό το ζήτημα αντιμετωπίζεται με την αφαίρεση της DigiNotar από τη λίστα αξιόπιστων πιστοποιητικών ρίζας, τη λίστα των αρχών έκδοσης πιστοποιητικών Εκτεταμένης επικύρωσης (EV) και από τη ρύθμιση των προεπιλεγμένων ρυθμίσεων αξιοπιστίας συστήματος, ώστε τα πιστοποιητικά της DigiNotar, συμπεριλαμβανομένων αυτών που εκδόθηκαν από άλλες αρχές, να μην θεωρούνται πλέον αξιόπιστα.
Apple TV
Διατίθεται για: Apple TV 4.0 έως 4.3
Αποτέλεσμα: Η υποστήριξη για πιστοποιητικά X.509 με κατακερματισμούς MD5 ενδέχεται να εκθέσει τους χρήστες σε πλαστογράφηση και αποκάλυψη πληροφοριών καθώς βελτιώνονται οι επιθέσεις
Περιγραφή: Τα πιστοποιητικά που υπογράφονται με χρήση του αλγόριθμου κατακερματισμού MD5 γίνονται αποδεκτά από το iOS. Αυτός ο αλγόριθμος φέρει γνωστές αδυναμίες κρυπτογράφησης. Η περαιτέρω έρευνα ή μια αρχή έκδοσης πιστοποιητικών με εσφαλμένη διαμόρφωση ενδέχεται να επέτρεπαν τη δημιουργία πιστοποιητικών X.509 με τιμές που ελέγχονται από τον εισβολέα και που θα είχαν θεωρηθεί αξιόπιστες από το σύστημα. Αυτό θα εξέθετε τα πρωτόκολλα που βασίζονται στο X.509 σε πλαστογράφηση, σε επιθέσεις ατόμων με δυνατότητα μεσολάβησης και σε αποκάλυψη πληροφοριών. Αυτή η ενημέρωση απενεργοποιεί την υποστήριξη για ένα πιστοποιητικό X.509 με κατακερματισμό MD5 για κάθε χρήση, εκτός της χρήσης του ως αξιόπιστο πιστοποιητικό ρίζας.
CVE-ID
CVE-2011-3427
Apple TV
Διατίθεται για: Apple TV 4.0 έως 4.3
Αποτέλεσμα: Ένας εισβολέας μπορούσε να αποκρυπτογραφήσει ένα τμήμα μιας σύνδεσης SSL
Περιγραφή: Υποστηρίζονταν μόνο οι εκδόσεις SSLv3 και TLS 1.0 του SSL. Αυτές οι εκδόσεις υπόκεινται σε μια αδυναμία πρωτοκόλλου κατά τη χρήση κρυπτογράφησης μπλοκ. Ένας εισβολέας που έχει τη δυνατότητα μεσολάβησης θα μπορούσε να έχει εισάγει μη έγκυρα δεδομένα, με αποτέλεσμα το κλείσιμο της σύνδεσης αλλά και την αποκάλυψη πληροφοριών που σχετίζονται με τα προηγούμενα δεδομένα. Αν η ίδια σύνδεση επιχειρήθηκε επανειλημμένα, ο εισβολέας ενδέχεται να μπορούσε να αποκρυπτογραφήσει τα δεδομένα που είχαν αποσταλεί, όπως έναν κωδικό πρόσβασης. Αυτό το πρόβλημα αντιμετωπίζεται με την προσθήκη υποστήριξης για το TLS 1.2
CVE-ID
CVE-2011-3389
Apple TV
Διατίθεται για: Apple TV 4.0 έως 4.3
Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό από το libTIFF εικόνων TIFF με κωδικοποίηση CCITT Group 4.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Διατίθεται για: Apple TV 4.0 έως 4.3
Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στον χειρισμό από το ImageIO εικόνων TIFF με κωδικοποίηση CCITT Group 4.
CVE-ID
CVE-2011-0241 : Cyril CATTIAUX της Tessi Technologies
Apple TV
Διατίθεται για: Apple TV 4.0 έως 4.3
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να προκαλέσει επαναφορά μιας συσκευής
Περιγραφή: Ο πυρήνας (kernel) απέτυχε να επανακτήσει εγκαίρως μνήμη από ημιτελείς συνδέσεις TCP. Ένας εισβολέας με δυνατότητα σύνδεσης σε μια υπηρεσία ακρόασης μιας συσκευής iOS, θα μπορούσε να εξαντλήσει τους πόρους του συστήματος.
CVE-ID
CVE-2011-3259 : Wouter van der Veer της Topicus I&I και Josh Enders
Apple TV
Διατίθεται για: Apple TV 4.0 έως 4.3
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού ενός byte στον χειρισμό από το libxml των δεδομένων XML.
CVE-ID
CVE-2011-0216 : Billy Rios της ομάδας Google Security Team
Apple TV
Διατίθεται για: Apple TV 4.0 έως 4.3
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στο JavaScriptCore.
CVE-ID
CVE-2011-3232 : Aki Helin της OUSPG
Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.