Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Apple TV 7
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Hyökkääjä saattoi saada Wi-Fi-tunnistetiedot.
Kuvaus: Hyökkääjä saattoi esiintyä Wi-Fi-tukiasemana, tarjota LEAP-todentamista, rikkoa MS-CHAPv1-hajautuksen ja käyttää saamiaan tunnistetietoja haluttuun tukiasemaan todentautumisessa, vaikka tukiasema tuki vahvempia todennusmenetelmiä. Ongelma on ratkaistu poistamalla LEAP-tuki.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte (Universiteit Hasselt)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Hyökkääjä, jolla oli pääsy laitteeseen, saattoi saada lokeista haltuunsa arkaluonteisia käyttäjätietoja.
Kuvaus: Arkaluonteisia käyttäjätietoja kirjattiin lokiin. Ongelma on ratkaistu kirjaamalla lokiin vähemmän tietoja.
CVE-ID
CVE-2014-4357: Heli Myllykoski (OP-Pohjola-ryhmä)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada laitteen luulemaan olevansa ajan tasalla, vaikka se ei ollut.
Kuvaus: Päivityksen tarkistamisvastausten käsittelyssä oli tarkistamisongelma. Tuleviin ajankohtiin asetettujen Last-Modified-vastausotsakkeiden väärennettyjä päivämääriä käytettiin If-Modified-Since-tarkistuksiin seuraavissa päivityspyynnöissä. Ongelma on ratkaistu tarkistamalla Last-Modified-otsake.
CVE-ID
CVE-2014-4383: Raul Siles (DinoSec)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai tietojen paljastumisen.
Kuvaus: PDF-tiedostojen käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)
- Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Appi saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen.
Kuvaus: IOAcceleratorFamilyn API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOAcceleratorFamilyn API-argumenttien tarkistusta.
CVE-ID
CVE-2014-4369: Sarah (alias winocm) ja Cererdlong (Alibaba Mobile Security Team)
Kohta lisätty 3.2.2020
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Laite saattoi odottamatta käynnistyä uudelleen.
Kuvaus: IntelAccelerator-ohjaimessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.
CVE-ID
CVE-2014-4373: cunzhang (Adlab, Venustech)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä lukemaan kernel-osoittimia, joita voitiin käyttää kernel-osoitetilan asettelun satunnaistamisen ohittamiseen.
Kuvaus: IOHIDFamily-funktion käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4379: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4404: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.
CVE-ID
CVE-2014-4405: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: IOHIDFamily-kernel-laajennuksessa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4380: cunzhang (Adlab, Venustech)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä lukemaan alustamattomia tietoja kernel-muistista.
Kuvaus: IOKit-funktioiden käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on korjattu parantamalla muistin alustamista.
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-ID
CVE-2014-4418: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla IOKitin API-argumenttien tarkistusta.
CVE-ID
CVE-2014-4389: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Verkkotilastojen käyttöliittymässä oli useita alustamattomaan muistiin liittyviä ongelmia, mikä johti kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.
CVE-ID
CVE-2014-4371: Fermin J. Serna (Google Security Team)
CVE-2014-4419: Fermin J. Serna (Google Security Team)
CVE-2014-4420: Fermin J. Serna (Google Security Team)
CVE-2014-4421: Fermin J. Serna (Google Security Team)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Etuoikeutetussa verkkoasemassa ollut henkilö saattoi aiheuttaa palveluneston.
Kuvaus: IPv6-pakettien käsittelyssä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: Mach-porttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.
CVE-ID
CVE-2014-4375
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: rt_setgatessa oli rajojen ulkopuolisen muistin lukuongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4408
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Jotkin kernelin lisäturvatoimet saatettiin ohittaa.
Kuvaus: Joissakin kernelin lisäturvatoimissa käytetty niin sanottu varhainen satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset näkyivät käyttäjätilaan, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu vaihtamalla satunnaislukugeneraattori kryptografisesti turvalliseen algoritmiin ja käyttämällä 16 tavun siemenlukua.
CVE-ID
CVE-2014-4422: Tarjei Mandt (Azimuth Security)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: Libnotifyssa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4381: Ian Beer (Google Project Zero)
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Paikallinen käyttäjä saattoi pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia.
Kuvaus: syslogd seurasi symbolisia linkkejä muuttaessaan tiedostojen käyttöoikeuksia. Ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-ID
CVE-2014-4372: Georgia Tech Information Security Centerin (GTISC) Tielei Wang ja YeongJin Jang
Apple TV
Saatavuus: Apple TV (3. sukupolvi tai uudempi).
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2013-6663: Atte Kettunen (OUSPG)
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel (Google)
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple