Tietoja Apple TV 6.0:n turvallisuussisällöstä

Tässä artikkelissa kerrotaan Apple TV 6.0:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Apple TV 6.0

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JBIG2-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-tunnus

    CVE-2013-1025: Google Security Teamin Felix Groebert

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Sorenson-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-tunnus

    CVE-2013-1019: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.

    Kuvaus: TrustWave, joka on luotettu päävarmenne, on myöntänyt ja myöhemmin kumonnut alivarmenteen yhdeltä luotetuista ankkureistaan. Alivarmenne mahdollisti TLS:n suojaaman viestiliikenteen kaappaamisen. Tässä päivityksessä kyseinen alivarmenne lisättiin OS X:n ei-luotettujen varmenteiden luetteloon.

    CVE-tunnus

    CVE-2013-5134

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: hyökkääjä, joka oli asettanut mielivaltaisen koodin suorittamisen laitteeseen, saattoi pystyä jatkamaan koodin suorittamista uudelleenkäynnistyksestä toiseen.

    Kuvaus: dyldin openSharedCacheFile()-funktiossa oli useita puskurin ylivuotoja. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

    CVE-tunnus

    CVE-2013-3950: Stefan Esser

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JPEG2000-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-tunnus

    CVE-2013-1026: Google Security Teamin Felix Groebert

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: haitallinen paikallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.

    Kuvaus: IOCataloguessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla tyypin tarkistusta.

    CVE-tunnus

    CVE-2013-5138: Will Estes

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: IOSerialFamily-ohjaimessa oli pääsy rajojen ulkopuoliseen matriisiin. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-tunnus

    CVE-2013-5139: @dent1zt

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: etähyökkääjä saattoi saada laitteen käynnistymään uudelleen odottamatta.

    Kuvaus: virheellisen paketin osa saattoi saada kernel-vahvistuksen laukeamaan, mikä johti laitteen käynnistymiseen uudelleen. Ongelma on ratkaistu paketin osien lisätarkistuksella.

    CVE-tunnus

    CVE-2013-5140: Codenomiconin Joonas Kuorilehto, CERT-FI:n parissa työskentelevä nimetön tutkija, Stonesoftin Vulnerability Analysis Groupin Antti Levomäki ja Lauri Virtanen

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: lähiverkossa ollut hyökkääjä saattoi aiheuttaa palvelun eston.

    Kuvaus: lähiverkossa ollut hyökkääjä saattoi lähettää erityisesti valmistettuja IPv6 ICMP -paketteja ja aiheuttaa suuren suoritinkuorman. Ongelma on ratkaistu rajoittamalla ICMP-pakettien nopeutta ennen niiden tarkistussumman vahvistamista.

    CVE-tunnus

    CVE-2011-2391: Marc Heuse

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: Kernel-pinomuisti saattoi paljastua paikallisille käyttäjille.

    Kuvaus: msgctl- ja segctl-ohjelmistorajapinnoissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla kernelistä palautetut tietorakenteet.

    CVE-tunnus

    CVE-2013-5142: Kenx Technology Inc:n Kenzley Alphonse

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: käyttöoikeudettomat prosessit saattoivat saada pääsyn kernel-muistin sisältöön, mikä saattoi johtaa käyttöoikeuksien lisäämiseen.

    Kuvaus: mach_port_space_info-ohjelmistorajapinnassa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla iin_collision-kenttä kernelistä palautetuissa rakenteissa.

    CVE-tunnus

    CVE-2013-3953: Stefan Esser

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: käyttöoikeudettomat prosessit saattavat pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: posix_spawn-ohjelmistorajapintaan tulevien argumenttien käsittelyssä oli muistin vioittumiseen liittyvä ongelma. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-tunnus

    CVE-2013-3954: Stefan Esser

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: valtuuttamaton prosessi saattoi muuttaa ladattujen kernel-laajennusten joukkoa.

    Kuvaus: kextd:n tavassa käsitellä todentamattomien lähettäjien IPC-viestejä oli ongelma. Ongelma on ratkaistu lisäämällä valtuutustarkistuksia.

    CVE-tunnus

    CVE-2013-5145: "Rainbow PRISM"

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen verkkosivuston selaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxml:ssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu päivittämällä libxml versioon 2.9.0.

    CVE-tunnus

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen verkkosivuston selaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxslt:ssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu päivittämällä libxslt versioon 1.1.28.

    CVE-tunnus

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Fortinetin FortiGuard Labsin Kai Lu sekä Nicolas Gregoire

  • Apple TV:

    Saatavilla Apple TV:lle (2. sukupolvi tai uudempi).

    Vaikutus: haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2013-0879: OUSPG:n Atte Kettunen

    CVE-2013-0991: Chromium-kehitysyhteisön parissa työskentelevä Jay Civelli

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: Googlen David German

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: HP:n Zero Day Initiativen parissa työskentelevä Vitaliy Toropov

    CVE-2013-0998: HP:n Zero Day Initiativen parissa työskentelevä pa_kt

    CVE-2013-0999: HP:n Zero Day Initiativen parissa työskentelevä pa_kt

    CVE-2013-1000: Google Security Teamin Fermin J. Serna

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1011

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: iDefense VCP:n parissa työskentelevä own-hero Research

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

 

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: