Tietoja Apple TV 6.0:n turvallisuussisällöstä
Tässä artikkelissa kerrotaan Apple TV 6.0:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Apple TV 6.0
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: PDF-tiedostojen JBIG2-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.
CVE-tunnus
CVE-2013-1025: Google Security Teamin Felix Groebert
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Sorenson-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-tunnus
CVE-2013-1019: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.
Kuvaus: TrustWave, joka on luotettu päävarmenne, on myöntänyt ja myöhemmin kumonnut alivarmenteen yhdeltä luotetuista ankkureistaan. Alivarmenne mahdollisti TLS:n suojaaman viestiliikenteen kaappaamisen. Tässä päivityksessä kyseinen alivarmenne lisättiin OS X:n ei-luotettujen varmenteiden luetteloon.
CVE-tunnus
CVE-2013-5134
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: hyökkääjä, joka oli asettanut mielivaltaisen koodin suorittamisen laitteeseen, saattoi pystyä jatkamaan koodin suorittamista uudelleenkäynnistyksestä toiseen.
Kuvaus: dyldin openSharedCacheFile()-funktiossa oli useita puskurin ylivuotoja. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.
CVE-tunnus
CVE-2013-3950: Stefan Esser
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: PDF-tiedostojen JPEG2000-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.
CVE-tunnus
CVE-2013-1026: Google Security Teamin Felix Groebert
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: haitallinen paikallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: IOCataloguessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla tyypin tarkistusta.
CVE-tunnus
CVE-2013-5138: Will Estes
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: IOSerialFamily-ohjaimessa oli pääsy rajojen ulkopuoliseen matriisiin. Ongelma on ratkaistu rajojen lisätarkistuksella.
CVE-tunnus
CVE-2013-5139: @dent1zt
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: etähyökkääjä saattoi saada laitteen käynnistymään uudelleen odottamatta.
Kuvaus: virheellisen paketin osa saattoi saada kernel-vahvistuksen laukeamaan, mikä johti laitteen käynnistymiseen uudelleen. Ongelma on ratkaistu paketin osien lisätarkistuksella.
CVE-tunnus
CVE-2013-5140: Codenomiconin Joonas Kuorilehto, CERT-FI:n parissa työskentelevä nimetön tutkija, Stonesoftin Vulnerability Analysis Groupin Antti Levomäki ja Lauri Virtanen
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: lähiverkossa ollut hyökkääjä saattoi aiheuttaa palvelun eston.
Kuvaus: lähiverkossa ollut hyökkääjä saattoi lähettää erityisesti valmistettuja IPv6 ICMP -paketteja ja aiheuttaa suuren suoritinkuorman. Ongelma on ratkaistu rajoittamalla ICMP-pakettien nopeutta ennen niiden tarkistussumman vahvistamista.
CVE-tunnus
CVE-2011-2391: Marc Heuse
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: Kernel-pinomuisti saattoi paljastua paikallisille käyttäjille.
Kuvaus: msgctl- ja segctl-ohjelmistorajapinnoissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla kernelistä palautetut tietorakenteet.
CVE-tunnus
CVE-2013-5142: Kenx Technology Inc:n Kenzley Alphonse
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: käyttöoikeudettomat prosessit saattoivat saada pääsyn kernel-muistin sisältöön, mikä saattoi johtaa käyttöoikeuksien lisäämiseen.
Kuvaus: mach_port_space_info-ohjelmistorajapinnassa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla iin_collision-kenttä kernelistä palautetuissa rakenteissa.
CVE-tunnus
CVE-2013-3953: Stefan Esser
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: käyttöoikeudettomat prosessit saattavat pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: posix_spawn-ohjelmistorajapintaan tulevien argumenttien käsittelyssä oli muistin vioittumiseen liittyvä ongelma. Ongelma on ratkaistu rajojen lisätarkistuksella.
CVE-tunnus
CVE-2013-3954: Stefan Esser
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: valtuuttamaton prosessi saattoi muuttaa ladattujen kernel-laajennusten joukkoa.
Kuvaus: kextd:n tavassa käsitellä todentamattomien lähettäjien IPC-viestejä oli ongelma. Ongelma on ratkaistu lisäämällä valtuutustarkistuksia.
CVE-tunnus
CVE-2013-5145: "Rainbow PRISM"
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: haitallisen verkkosivuston selaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: libxml:ssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu päivittämällä libxml versioon 2.9.0.
CVE-tunnus
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: haitallisen verkkosivuston selaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: libxslt:ssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu päivittämällä libxslt versioon 1.1.28.
CVE-tunnus
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Fortinetin FortiGuard Labsin Kai Lu sekä Nicolas Gregoire
Apple TV:
Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).
Vaikutus: haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-tunnus
CVE-2013-0879: OUSPG:n Atte Kettunen
CVE-2013-0991: Chromium-kehitysyhteisön parissa työskentelevä Jay Civelli
CVE-2013-0992: Google Chrome Security Team (Martin Barbella)
CVE-2013-0993: Google Chrome Security Team (Inferno)
CVE-2013-0994: Googlen David German
CVE-2013-0995: Google Chrome Security Team (Inferno)
CVE-2013-0996: Google Chrome Security Team (Inferno)
CVE-2013-0997: HP:n Zero Day Initiativen parissa työskentelevä Vitaliy Toropov
CVE-2013-0998: HP:n Zero Day Initiativen parissa työskentelevä pa_kt
CVE-2013-0999: HP:n Zero Day Initiativen parissa työskentelevä pa_kt
CVE-2013-1000: Google Security Teamin Fermin J. Serna
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Google Chrome Security Team (Inferno)
CVE-2013-1004: Google Chrome Security Team (Martin Barbella)
CVE-2013-1005: Google Chrome Security Team (Martin Barbella)
CVE-2013-1006: Google Chrome Security Team (Martin Barbella)
CVE-2013-1007: Google Chrome Security Team (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1011
CVE-2013-1037: Google Chrome Security Team
CVE-2013-1038: Google Chrome Security Team
CVE-2013-1039: iDefense VCP:n parissa työskentelevä own-hero Research
CVE-2013-1040: Google Chrome Security Team
CVE-2013-1041: Google Chrome Security Team
CVE-2013-1042: Google Chrome Security Team
CVE-2013-1043: Google Chrome Security Team
CVE-2013-1044: Apple
CVE-2013-1045: Google Chrome Security Team
CVE-2013-1046: Google Chrome Security Team
CVE-2013-1047: miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: Google Chrome Security Team
CVE-2013-5126: Apple
CVE-2013-5127: Google Chrome Security Team
CVE-2013-5128: Apple
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.