Tietoja Apple TV 6.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Apple TV 6.1:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Apple TV 6.1

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: hyökkääjä, jolla oli pääsy Apple TV:hen, saattoi saada lokeista käsiinsä arkaluontoisia käyttäjätietoja.

    Kuvaus: Arkaluontoisia käyttäjätietoja kirjattiin lokiin. Ongelma on ratkaistu kirjaamalla lokiin vähemmän tietoja.

    CVE-tunnus

    CVE-2014-1279: Intrepidus Groupin David Schuetz

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: profiilien vanhentumispäiviä ei noudatettu.

    Kuvaus: Mobiilimäärittelyprofiilien vanhentumispäiviä ei laskettu oikein. Ongelma on ratkaistu parantamalla määrittelyprofiilien käsittelyä.

    CVE-tunnus

    CVE-2014-1267

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: haitallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.

    Kuvaus: CoreCapturen tavassa käsitellä IOKitin API-kutsuja oli tavoitettavan vahvistuksen ongelma. Ongelma on ratkaistu IOKitin syötteen lisätarkistuksella.

    CVE-tunnus

    CVE-2014-1271: Filippo Bigarella

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: paikallinen käyttäjä saattoi pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia.

    Kuvaus: CrashHouseKeeping seurasi symbolisia linkkejä, kun tiedostojen käyttöoikeuksia muutettiin. Ongelma on ratkaistu olemalla noudattamatta symbolisia linkkejä, kun tiedostojen käyttöoikeuksia muutetaan.

    CVE-tunnus

    CVE-2014-1272: evad3rs

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: koodien allekirjoitusvaatimukset saatettiin ohittaa.

    Kuvaus: dyld saattoi ladata dynaamisten kirjastojen tekstinsiirtämisohjeet ilman koodin allekirjoituksen tarkistusta. Ongelma on ratkaistu jättämällä tekstin siirtämisohjeet huomioimatta.

    CVE-tunnus

    CVE-2014-1273: evad3rs

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JPEG2000-kuvien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-tunnus

    CVE-2014-1275: Google Security Teamin Felix Groebert

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen TIFF-tiedoston katsominen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libtiffin tavassa käsitellä TIFF-kuvia oli puskurin ylivuoto. Ongelma on korjattu TIFF-kuvien lisätarkistuksella.

    CVE-tunnus

    CVE-2012-2088

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen JPEG-tiedoston katselu saattoi aiheuttaa muistin sisällön paljastumisen.

    Kuvaus: libjpeg:n tavassa käsitellä JPEG-merkkejä oli alustamattoman muistin käyttöongelma, mikä johti muistin sisällön paljastumiseen. Ongelma on ratkaistu JPEG-tiedostojen lisätarkistuksella.

    CVE-tunnus

    CVE-2013-6629: Michal Zalewski

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: ARM:n ptmx_get_ioctl-funktiossa oli rajojen ylittämiseen liittyvä muistin käyttöongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-tunnus

    CVE-2014-1278: evad3rs

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: käyttäjä ei ehkä nähnyt määrittelyprofiilia.

    Kuvaus: Pitkällä nimellä varustettu määrittelyprofiili voitiin ladata laitteeseen, mutta sitä ei näkynyt profiilin käyttöliittymässä. Ongelma on ratkaistu parantamalla profiilinimien käsittelyä.

    CVE-tunnus

    CVE-2014-1282: Skycuren Assaf Hefetz, Yair Amit ja Adi Sharabani

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen kernel-tilassa.

    Kuvaus: USB-viestien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu USB-viestien lisätarkistuksella.

    CVE-tunnus

    CVE-2014-1287: NCC Groupin Andy Davis

  • WebKit

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2013-2909: OUSPG:n Atte Kettunen

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Security Team

    CVE-2013-5196: Google Chrome Security Team

    CVE-2013-5197: Google Chrome Security Team

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome Security Team

    CVE-2013-5228: HP:n Zero Day Initiativen parissa työskentelevä Keen Team (@K33nTeam)

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: HP:n Zero Day Initiativen parissa työskentelevä ant4g0nist (SegFault) sekä Google Chrome Security Team

    CVE-2014-1291: Google Chrome Security Team

    CVE-2014-1292: Google Chrome Security Team

    CVE-2014-1293: Google Chrome Security Team

    CVE-2014-1294: Google Chrome Security Team

  • Apple TV:

    Saatavuus: Apple TV (2. sukupolvi tai uudempi).

    Vaikutus: haitallisen videon toistaminen saattoi saada laitteen lakkaamaan vastaamasta.

    Kuvaus: MPEG-4-koodattujen tiedostojen käsittelyssä oli tyhjän epäviittauksen ongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-tunnus

    CVE-2014-1280: rg0rd

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: