Tietoja Apple TV 7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Apple TV 7:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Apple TV 7

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Hyökkääjä saattoi saada Wi-Fi-tunnistetiedot.

    Kuvaus: Hyökkääjä saattoi esiintyä Wi-Fi-yhteyspisteenä, tarjota LEAP-todentamista, rikkoa MS-CHAPv1-hajautuksen ja käyttää saamiaan tunnistetietoja haluttuun yhteyspisteeseen todentautumisessa, vaikka se tuki vahvempia todentamismenetelmiä. Ongelma on ratkaistu poistamalla LEAP-tuki.

    CVE-ID

    CVE-2014-4364: Universiteit Hasseltin Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Hyökkääjä, jolla oli pääsy laitteeseen, saattoi saada lokeista käsiinsä arkaluontoisia käyttäjätietoja.

    Kuvaus: Arkaluontoisia käyttäjätietoja kirjattiin lokiin. Ongelma on ratkaistu kirjaamalla lokiin vähemmän tietoja.

    CVE-ID

    CVE-2014-4357: OP-Pohjola-ryhmän Heli Myllykoski

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada laitteen luulemaan olevansa ajan tasalla, vaikka se ei ollut.

    Kuvaus: Päivityksen tarkastamisvastausten käsittelyssä oli tarkistamisongelma. Tuleviin ajankohtiin asetettujen Last-Modified-vastausotsakkeiden väärennettyjä päivämääriä käytettiin If-Modified-Since-tarkistuksiin seuraavissa päivityspyynnöissä. Ongelma on ratkaistu tarkistamalla Last-Modified-otsake.

    CVE-ID

    CVE-2014-4383: DinoSecin Raul Siles

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haitallisen PDF-tiedoston avaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaiseen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Binamuse VRT:n Felipe Andres Manzano

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai tietojen paljastumisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli muistin rajojen ylittämiseen liittyvä lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Binamuse VRT:n Felipe Andres Manzano

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Ohjelma saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen.

    Kuvaus: IOAcceleratorFamilyn API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu IOAcceleratorFamilyn API-argumenttien parannetulla tarkistuksella.

    CVE-ID

    CVE-2014-4369: Alibaba Mobile Security Teamin Catherine (eli winocm) ja Cererdlong

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Laite saattoi odottamatta käynnistyä uudelleen.

    Kuvaus: IntelAccelerator-ohjaimessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

    CVE-ID

    CVE-2014-4373: Venustechin Adlabin cunzhang

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä lukemaan kernel-osoittimia, joita voitiin käyttää kernel-osoitetilan asettelun satunnaistamisen ohittamiseen.

    Kuvaus: IOHIDFamily-funktion käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4379: Google Project Zeron Ian Beer

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4404: Google Project Zeron Ian Beer

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.

    CVE-ID

    CVE-2014-4405: Google Project Zeron Ian Beer

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: IOHIDFamily-kernel-laajennuksessa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4380: Venustechin Adlabin cunzhang

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä lukemaan alustamattomia tietoja kernel-muistista.

    Kuvaus: IOKit-funktioiden käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on korjattu parantamalla muistin alustamista

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4418: Google Project Zeron Ian Beer

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu IOKit API-argumenttien parannetulla tarkistuksella.

    CVE-ID

    CVE-2014-4389: Google Project Zeron Ian Beer

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Verkkotilastoliittymässä oli useita alustamattomaan muistiin liittyviä ongelmia, mikä johti kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.

    CVE-ID

    CVE-2014-4371: Google Security Teamin Fermin J. Serna

    CVE-2014-4419: Google Security Teamin Fermin J. Serna

    CVE-2014-4420: Google Security Teamin Fermin J. Serna

    CVE-2014-4421: Google Security Teamin Fermin J. Serna

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut henkilö saattoi aiheuttaa palveluneston.

    Kuvaus: IPv6-pakettien käsittelyssä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: Mach-porttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.

    CVE-ID

    CVE-2014-4375

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: rt_setgatessa oli rajojen ulkopuolisen muistin lukuongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4408

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Jotkin kernelin lisäturvatoimet saatettiin ohittaa.

    Kuvaus: Joissakin kernelin lisäturvatoimissa käytetty niin sanottu varhainen satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset näkyivät käyttäjätilaan, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu vaihtamalla satunnaislukugeneraattori kryptografisesti turvalliseen algoritmiin ja käyttämällä 16 tavun siemenlukua.

    CVE-ID

    CVE-2014-4422: Azimuth Securityn Tarjei Mandt

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: Libnotifyssa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4381: Google Project Zeron Ian Beer

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Paikallinen käyttäjä saattoi pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia.

    Kuvaus: syslogd seurasi symbolisia linkkejä, kun tiedostojen käyttöoikeuksia muutettiin. Ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

    CVE-ID

    CVE-2014-4372: Georgia Tech Information Security Centerin (GTISC) Tielei Wang ja YeongJin Jang

  • Apple TV:

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-6663: OUSPG:n Atte Kettunen

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Googlen Eric Seidel

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: