H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.
Apple TV 7
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας μπορεί να αποκτήσει διαπιστευτήρια Wi-Fi
Περιγραφή: Ένας εισβολέας θα μπορούσε να προσποιηθεί ένα σημείο πρόσβασης Wi-Fi, να επαληθεύσει την ταυτότητά του με LEAP, να «σπάσει» τον κατακερματισμό MS-CHAPv1 και να χρησιμοποιήσει τα διαπιστευτήρια που απέκτησε για να επαληθεύσει την ταυτότητά του στο σημείο πρόσβασης που θέλει, ακόμα και αν αυτό το σημείο πρόσβασης υποστηρίζει πιο ισχυρές μεθόδους ελέγχου ταυτότητας. Αυτό το πρόβλημα αντιμετωπίστηκε με την αφαίρεση της υποστήριξης για LEAP.
Αναγνωριστικό CVE
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax και Wim Lamotte του Universiteit Hasselt
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με πρόσβαση σε μια συσκευή θα μπορούσε να έχει πρόσβαση σε ευαίσθητες πληροφορίες από αρχεία καταγραφής
Περιγραφή: Γινόταν καταγραφή ευαίσθητων πληροφοριών του χρήστη. Αυτό το πρόβλημα αντιμετωπίστηκε καταγράφοντας λιγότερες πληροφορίες.
Αναγνωριστικό CVE
CVE-2014-4357: Heli Myllykoski του OP-Pohjola Group
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο μπορεί να κάνει μια συσκευή να νομίζει ότι είναι ενημερωμένη όταν στην πραγματικότητα δεν είναι
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό των αποκρίσεων ελέγχου ενημερώσεων. Ψευδείς ημερομηνίες από κεφαλίδες απόκρισης Last-Modified που είχαν οριστεί σε μελλοντικές ημερομηνίες χρησιμοποιήθηκαν για ελέγχους If-Modified-Since σε επόμενες αιτήσεις ενημέρωσης. Αυτό το πρόβλημα αντιμετωπίστηκε με επαλήθευση της κεφαλίδας Last-Modified.
Αναγνωριστικό CVE
CVE-2014-4383: Raul Siles του DinoSec
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στον χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4377: Felipe Andres Manzano του Binamuse VRT σε συνεργασία με το πρόγραμμα iSIGHT Partners GVP
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη πληροφοριών
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης μνήμης εκτός ορίων στον χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4378: Felipe Andres Manzano του Binamuse VRT σε συνεργασία με το πρόγραμμα iSIGHT Partners GVP
- Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να προκαλέσει απρόσμενο τερματισμό του συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στον χειρισμό των ορισμάτων του API IOAcceleratorFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων του API IOAcceleratorFamily.
Αναγνωριστικό CVE
CVE-2014-4369: Sarah γνωστή και ως winocm, και Cererdlong της Alibaba Mobile Security Team
Η καταχώριση προστέθηκε στις 3 Φεβρουαρίου 2020
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η συσκευή ενδέχεται να επανεκκινηθεί απρόσμενα
Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στο πρόγραμμα οδήγησης IntelAccelerator. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό σφαλμάτων.
Αναγνωριστικό CVE
CVE-2014-4373: cunzhang από το Adlab του Venustech
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή θα μπορούσε να διαβάσει δείκτες του πυρήνα, οι οποίοι μπορούν να χρησιμοποιηθούν για να παρακάμψουν την τυχαία διαμόρφωση του χώρου διευθύνσεων του πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στον χειρισμό μιας συνάρτησης IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4379: Ian Beer του Google Project Zero
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στον χειρισμό των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4404: Ian Beer του Google Project Zero
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στον χειρισμό των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily.
Αναγνωριστικό CVE
CVE-2014-4405: Ian Beer του Google Project Zero
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στην επέκταση πυρήνα IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4380: cunzhang από το Adlab του Venustech
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να διαβάσει μη αρχικοποιημένα δεδομένα από τη μνήμη πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης μη αρχικοποιημένης μνήμης στον χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αρχικοποίηση της μνήμης
Αναγνωριστικό CVE
CVE-2014-4407: @PanguTeam
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό ορισμένων πεδίων μεταδεδομένων των αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταδεδομένων.
Αναγνωριστικό CVE
CVE-2014-4418: Ian Beer του Google Project Zero
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό ορισμένων πεδίων μεταδεδομένων των αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταδεδομένων.
Αναγνωριστικό CVE
CVE-2014-4388: @PanguTeam
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στον χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων API του IOKit.
Αναγνωριστικό CVE
CVE-2014-4389: Ian Beer του Google Project Zero
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχαν πολλά προβλήματα μη αρχικοποιημένης μνήμης στη διασύνδεση στατιστικών δικτύου, κάτι που οδήγησε σε αποκάλυψη του περιεχομένου της μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη αρχικοποίηση μνήμης.
Αναγνωριστικό CVE
CVE-2014-4371: Fermin J. Serna της Google Security Team
CVE-2014-4419: Fermin J. Serna της Google Security Team
CVE-2014-4420: Fermin J. Serna της Google Security Team
CVE-2014-4421: Fermin J. Serna της Google Security Team
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένα άτομο με προνομιακή θέση στο δίκτυο μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης συναγωνισμού στον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο της κατάστασης κλειδώματος.
Αναγνωριστικό CVE
CVE-2011-2391: Marc Heuse
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα σφάλματος τύπου «double free» στον χειρισμό των θυρών Mach. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των θυρών Mach.
Αναγνωριστικό CVE
CVE-2014-4375
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στο rt_setgate. Αυτό ενδέχεται να προκαλέσει την αποκάλυψη ή καταστροφή της μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4408
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ορισμένα μέτρα ενίσχυσης του πυρήνα μπορούν να παρακαμφθούν
Περιγραφή: Η «πρώιμη» γεννήτρια τυχαίων αριθμών που χρησιμοποιούνταν σε κάποια μέτρα ενίσχυσης πυρήνα δεν είχε ασφαλή κρυπτογράφηση και κάποια από τα αποτελέσματα ήταν εκτεθειμένα στον χώρο χρηστών, κάνοντας δυνατή την παράκαμψη των μέτρων ενίσχυσης. Το πρόβλημα αντιμετωπίστηκε με την αντικατάσταση της γεννήτριας τυχαίων αριθμών με ένα αλγόριθμο ασφαλούς κρυπτογράφησης και με χρήση προέκδοσης 16 byte.
Αναγνωριστικό CVE
CVE-2014-4422: Tarjei Mandt της Azimuth Security
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας
Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στο Libnotify. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4381: Ian Beer του Google Project Zero
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αλλάξει τα δικαιώματα σε αυθαίρετα αρχεία
Περιγραφή: Το syslogd ακολουθούσε συμβολικούς συνδέσμους κατά την αλλαγή δικαιωμάτων στα αρχεία. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των συμβολικών συνδέσμων.
Αναγνωριστικό CVE
CVE-2014-4372: Tielei Wang και YeongJin Jang του Georgia Tech Information Security Center (GTISC)
Apple TV
Διαθέσιμο για: Apple TV 3ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να προκαλέσει απροσδόκητο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχαν προβλήματα αλλοίωσης μνήμης στο WebKit. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2013-6663: Atte Kettunen του OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel της Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple