Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Apple TV 7

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Apple TV 7.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

Apple TV 7

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας μπορεί να αποκτήσει διαπιστευτήρια WiFi

    Περιγραφή: Ένας εισβολέας θα μπορούσε να προσποιηθεί ένα σημείο πρόσβασης WiFi, να επαληθεύσει την ταυτότητά του με LEAP, να «σπάσει» τον κατακερματισμό MS-CHAPv1 και να χρησιμοποιήσει τα διαπιστευτήρια που απέκτησε για να επαληθεύσει την ταυτότητά του στο σημείο πρόσβασης που θέλει, ακόμα και αν αυτό το σημείο πρόσβασης υποστηρίζει πιο ισχυρές μεθόδους ελέγχου ταυτότητας. Αυτό το πρόβλημα αντιμετωπίστηκε με την αφαίρεση της υποστήριξης για LEAP.

    Αναγνωριστικό CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax και Wim Lamotte του Universiteit Hasselt

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με πρόσβαση σε μια συσκευή θα μπορούσε να έχει πρόσβαση σε ευαίσθητες πληροφορίες από αρχεία καταγραφής

    Περιγραφή: Γινόταν καταγραφή ευαίσθητων πληροφοριών του χρήστη. Αυτό το πρόβλημα αντιμετωπίστηκε καταγράφοντας λιγότερες πληροφορίες.

    Αναγνωριστικό CVE

    CVE-2014-4357: Heli Myllykoski του OP-Pohjola Group

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο μπορεί να κάνει μια συσκευή να νομίζει ότι είναι ενημερωμένη όταν στην πραγματικότητα δεν είναι

    Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό των αποκρίσεων ελέγχου ενημερώσεων. Ψευδείς ημερομηνίες από κεφαλίδες απόκρισης Last-Modified που είχαν οριστεί σε μελλοντικές ημερομηνίες χρησιμοποιήθηκαν για ελέγχους If-Modified-Since σε επόμενες αιτήσεις ενημέρωσης. Αυτό το πρόβλημα αντιμετωπίστηκε με επαλήθευση της κεφαλίδας Last-Modified.

    Αναγνωριστικό CVE

    CVE-2014-4383: Raul Siles του DinoSec

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στον χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4377: Felipe Andres Manzano του Binamuse VRT σε συνεργασία με το πρόγραμμα iSIGHT Partners GVP

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη πληροφοριών

    Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης μνήμης εκτός ορίων στον χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4378: Felipe Andres Manzano του Binamuse VRT σε συνεργασία με το πρόγραμμα iSIGHT Partners GVP

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδέχεται να προκαλέσει απρόσμενο τερματισμό του συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στον χειρισμό των ορισμάτων του API IOAcceleratorFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων του API IOAcceleratorFamily.

    Αναγνωριστικό CVE

    CVE-2014-4369: Sarah γνωστή και ως winocm, και Cererdlong της Alibaba Mobile Security Team

    Η καταχώριση προστέθηκε στις 3 Φεβρουαρίου 2020
  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Η συσκευή ενδέχεται να επανεκκινηθεί απρόσμενα

    Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στο πρόγραμμα οδήγησης IntelAccelerator. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό σφαλμάτων.

    Αναγνωριστικό CVE

    CVE-2014-4373: cunzhang από το Adlab του Venustech

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή θα μπορούσε να διαβάσει δείκτες του πυρήνα, οι οποίοι μπορούν να χρησιμοποιηθούν για να παρακάμψουν την τυχαία διαμόρφωση του χώρου διευθύνσεων του πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στον χειρισμό μιας συνάρτησης IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4379: Ian Beer του Google Project Zero

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στον χειρισμό των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4404: Ian Beer του Google Project Zero

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στον χειρισμό των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily.

    Αναγνωριστικό CVE

    CVE-2014-4405: Ian Beer του Google Project Zero

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στην επέκταση πυρήνα IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4380: cunzhang από το Adlab του Venustech

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να διαβάσει μη αρχικοποιημένα δεδομένα από τη μνήμη πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης μη αρχικοποιημένης μνήμης στον χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αρχικοποίηση της μνήμης

    Αναγνωριστικό CVE

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό ορισμένων πεδίων μεταδεδομένων των αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταδεδομένων.

    Αναγνωριστικό CVE

    CVE-2014-4418: Ian Beer του Google Project Zero

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό ορισμένων πεδίων μεταδεδομένων των αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταδεδομένων.

    Αναγνωριστικό CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στον χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων API του IOKit.

    Αναγνωριστικό CVE

    CVE-2014-4389: Ian Beer του Google Project Zero

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

    Περιγραφή: Υπήρχαν πολλά προβλήματα μη αρχικοποιημένης μνήμης στη διασύνδεση στατιστικών δικτύου, κάτι που οδήγησε σε αποκάλυψη του περιεχομένου της μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη αρχικοποίηση μνήμης.

    Αναγνωριστικό CVE

    CVE-2014-4371: Fermin J. Serna της Google Security Team

    CVE-2014-4419: Fermin J. Serna της Google Security Team

    CVE-2014-4420: Fermin J. Serna της Google Security Team

    CVE-2014-4421: Fermin J. Serna της Google Security Team

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με προνομιακή θέση στο δίκτυο μπορεί να προκαλέσει άρνηση υπηρεσίας

    Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης συναγωνισμού στον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο της κατάστασης κλειδώματος.

    Αναγνωριστικό CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή εκτέλεση αυθαίρετου κώδικα στον πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα σφάλματος τύπου «double free» στον χειρισμό των θυρών Mach. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των θυρών Mach.

    Αναγνωριστικό CVE

    CVE-2014-4375

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή εκτέλεση αυθαίρετου κώδικα στον πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στο rt_setgate. Αυτό ενδέχεται να προκαλέσει την αποκάλυψη ή καταστροφή της μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4408

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ορισμένα μέτρα ενίσχυσης του πυρήνα μπορούν να παρακαμφθούν

    Περιγραφή: Η «πρώιμη» γεννήτρια τυχαίων αριθμών που χρησιμοποιούνταν σε κάποια μέτρα ενίσχυσης πυρήνα δεν είχε ασφαλή κρυπτογράφηση και κάποια από τα αποτελέσματα ήταν εκτεθειμένα στον χώρο χρηστών, κάνοντας δυνατή την παράκαμψη των μέτρων ενίσχυσης. Το πρόβλημα αντιμετωπίστηκε με την αντικατάσταση της γεννήτριας τυχαίων αριθμών με ένα αλγόριθμο ασφαλούς κρυπτογράφησης και με χρήση προέκδοσης 16 byte.

    Αναγνωριστικό CVE

    CVE-2014-4422: Tarjei Mandt της Azimuth Security

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

    Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στο Libnotify. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4381: Ian Beer του Google Project Zero

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αλλάξει τα δικαιώματα σε αυθαίρετα αρχεία

    Περιγραφή: Το syslogd ακολουθούσε συμβολικούς συνδέσμους κατά την αλλαγή δικαιωμάτων στα αρχεία. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των συμβολικών συνδέσμων.

    Αναγνωριστικό CVE

    CVE-2014-4372: Tielei Wang και YeongJin Jang του Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να προκαλέσει απροσδόκητο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχαν προβλήματα αλλοίωσης μνήμης στο WebKit. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2013-6663: Atte Kettunen του OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel της Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: