Tietoja Apple TV 7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Apple TV 7:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Apple TV 7

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Hyökkääjä saattoi saada Wi-Fi-tunnistetiedot.

    Kuvaus: Hyökkääjä saattoi esiintyä Wi-Fi-tukiasemana, tarjota LEAP-todentamista, rikkoa MS-CHAPv1-hajautuksen ja käyttää saamiaan tunnistetietoja haluttuun tukiasemaan todentautumisessa, vaikka tukiasema tuki vahvempia todennusmenetelmiä. Ongelma on ratkaistu poistamalla LEAP-tuki.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte (Universiteit Hasselt)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Hyökkääjä, jolla oli pääsy laitteeseen, saattoi saada lokeista haltuunsa arkaluonteisia käyttäjätietoja.

    Kuvaus: Arkaluonteisia käyttäjätietoja kirjattiin lokiin. Ongelma ratkaistiin kirjaamalla lokiin vähemmän tietoja.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski (OP-Pohjola-ryhmä)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada laitteen luulemaan olevansa ajan tasalla, vaikka se ei ollut.

    Kuvaus: Päivityksen tarkistamisvastausten käsittelyssä oli tarkistamisongelma. Tuleviin ajankohtiin asetettujen Last-Modified-vastausotsakkeiden väärennettyjä päivämääriä käytettiin If-Modified-Since-tarkistuksiin seuraavissa päivityspyynnöissä. Ongelma on ratkaistu tarkistamalla Last-Modified-otsake.

    CVE-ID

    CVE-2014-4383: Raul Siles (DinoSec)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai tietojen paljastumisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Ohjelma saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen.

    Kuvaus: IOAcceleratorFamilyn API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOAcceleratorFamilyn API-argumenttien tarkistusta.

    CVE-ID

    CVE-2014-4369: Sarah (alias winocm) ja Cererdlong (Alibaba Mobile Security Team)

    Kohta lisätty 3.2.2020
  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Laite saattoi odottamatta käynnistyä uudelleen.

    Kuvaus: IntelAccelerator-ohjaimessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

    CVE-ID

    CVE-2014-4373: cunzhang (Adlab, Venustech)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä lukemaan kernel-osoittimia, joita voitiin käyttää kernel-osoitetilan asettelun satunnaistamisen ohittamiseen.

    Kuvaus: IOHIDFamily-funktion käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.

    CVE-ID

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: IOHIDFamily-kernel-laajennuksessa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4380: cunzhang (Adlab, Venustech)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä lukemaan alustamattomia tietoja kernel-muistista.

    Kuvaus: IOKit-funktioiden käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on korjattu parantamalla muistin alustamista.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4418: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla IOKitin API-argumenttien tarkistusta.

    CVE-ID

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Verkkotilastojen käyttöliittymässä oli useita alustamattomaan muistiin liittyviä ongelmia, mikä johti kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna (Google Security Team)

    CVE-2014-4419: Fermin J. Serna (Google Security Team)

    CVE-2014-4420: Fermin J. Serna (Google Security Team)

    CVE-2014-4421: Fermin J. Serna (Google Security Team)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut henkilö saattoi aiheuttaa palveluneston.

    Kuvaus: IPv6-pakettien käsittelyssä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: Mach-porttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: rt_setgatessa oli rajojen ulkopuolisen muistin lukuongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Jotkin kernelin lisäturvatoimet saatettiin ohittaa.

    Kuvaus: Joissakin kernelin lisäturvatoimissa käytetty niin sanottu varhainen satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset näkyivät käyttäjätilaan, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu vaihtamalla satunnaislukugeneraattori kryptografisesti turvalliseen algoritmiin ja käyttämällä 16 tavun siemenlukua.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt (Azimuth Security)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: Libnotifyssa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Paikallinen käyttäjä saattoi pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia.

    Kuvaus: syslogd seurasi symbolisia linkkejä muuttaessaan tiedostojen käyttöoikeuksia. Ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

    CVE-ID

    CVE-2014-4372: Georgia Tech Information Security Centerin (GTISC) Tielei Wang ja YeongJin Jang

  • Apple TV

    Saatavuus: Apple TV (3. sukupolvi tai uudempi).

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-6663: Atte Kettunen (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel (Google)

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: