Tietoja Apple TV 7.0.3:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan Apple TV 7.0.3:n turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Apple TV 7.0.3
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallinen afc-komento voi mahdollistaa tiedostojärjestelmän suojattujen osien käytön.
Kuvaus: afc:n symbolisessa linkitysmekanismissa oli haavoittuvuus. Ongelma on ratkaistu lisäämällä polun lisätarkistuksia.
CVE-ID
CVE-2014-4480: TaiG Jailbreak Team
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano (Binamuse VRT), iSIGHT Partners GVP Programin kautta
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan allekirjoittamattomatonta koodia.
Kuvaus: Mach-O-suoritustiedostojen, joissa on päällekkäisiä segmenttejä, käsittelyssä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla segmenttikokojen tarkistamista.
CVE-ID
CVE-2014-4455: TaiG Jailbreak Team
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4483: Apple
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallisen .dfont-tiedoston käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: .dfont-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4484: Gaurav Baruah yhteistyössä HP:n Zero Day Initiativen kanssa
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallisen XML-tiedoston tarkastelu saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: XML-parserissa oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4485: Apple
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOAcceleratorFamilyn resurssilistojen käsittelyssä oli nollaosoittimen epäviittaus. Ongelma on ratkaistu poistamalla tarpeeton koodi.
CVE-ID
CVE-2014-4486: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyssa oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla koon tarkistusta.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyn resurssijonon metadatan käsittelyssä oli varmistusongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-ID
CVE-2014-4488: Apple
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyn tapahtumajonojen käsittelyssä oli nollaosoittimen epäviittaus. Ongelma on ratkaistu parantamalla validointia.
CVE-ID
CVE-2014-4489: @beist
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallinen tai vaarantunut iOS-ohjelma saattoi pystyä määrittämään kernelin osoitteet.
Kuvaus: Kernel-laajennuksiin liittyvien ohjelmointirajapintojen käsittelyssä oli tietojen paljastumisongelma. OSBundleMachOHeaders-avaimen sisältävät vastaukset saattoivat sisältää kernel-osoitteita ja näin auttaa ohittamaan osoitteiden tila-asettelun satunnaistamissuojauksen. Ongelma on ratkaistu vapauttamalla osoitteet ennen niiden palauttamista.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Jaetussa kernel-muistialajärjestelmässä oli ongelma, joka saattoi mahdollistaa sen, että hyökkääjä pystyi kirjoittamaan muistiin, jonka oli tarkoitus olla vain luku -muisti. Ongelma on ratkaistu tarkemmilla jaetun muistin oikeustarkistuksilla.
CVE-ID
CVE-2014-4495: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallinen tai vaarantunut iOS-ohjelma saattoi pystyä määrittämään kernelin osoitteet.
Kuvaus: mach_port_kobject-kernel-käyttöliittymä vuosi kernel-osoitteita ja kekopermutaatioarvon, mikä saattoi auttaa osoitetila-asettelun satunnaissuojauksen ohittamisessa. Ongelma on ratkaistu poistamalla mach_port_kobject-käyttöliittymä käytöstä tuotantokokoonpanoissa.
CVE-ID
CVE-2014-4496: TaiG Jailbreak Team
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallinen hiekkalaatikko-ohjelma saattoi vaarantaa networkd-daemonin.
Kuvaus: networkd:n prosessien sisäinen viestintä sisälsi monenlaisia tyypin sekaannusongelmia. Jos networkd:lle lähetettiin haitallisesti muotoiltu viesti, se saattoi mahdollisesti suorittaa mielivaltaista koodia networkd-prosessina. Ongelma on ratkaistu tyypin lisätarkistuksilla.
CVE-ID
CVE-2014-4492: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Tyylisivut on ladattu eri alkuperistä, mikä saattaa sallia tietojen luvattomia siirtoja.
Kuvaus: img-elementtiin ladattu SVG saattoi ladata CSS-tiedoston eri alkuperistä. Ongelma on ratkaistu parantamalla ulkoisten CSS-viitteiden estämistä SVG:eissä.
CVE-ID
CVE-2014-4465: Rennie deGraaf (iSEC Partners)
Apple TV
Saatavuus: Apple TV (3. sukupolvi ja uudemmat)
Vaikutus: Haitallisella verkkosivustolla käyminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: WebKitissä oli useita oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT yhteistyössä HP:n Zero Day Initiativen kanssa
CVE-2014-4479: Apple
Apple TV
Saatavuus: iPhone 4s ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla
Kuvaus: Kerberoksen libgssapi-kirjasto palautti tilannetunnuksen ja irrallisen osoittimen. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-ID
CVE-2014-5352
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.