Ce document décrit les correctifs de sécurité de l’Apple TV 5.1.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
Apple TV 5.1
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion des fichiers vidéo encodés au format Sorenson. Ce problème a été résolu par une meilleure initialisation de la mémoire.
Référence CVE
CVE-2012-3722 : Will Dormann du CERT/CC.
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : un réseau Wi-Fi malveillant peut identifier les réseaux auxquels l’appareil a accédé avant.
Description : suite à la connexion à un réseau Wi-Fi, iOS pouvait diffuser les adresses MAC des réseaux auxquels l’appareil a accédé auparavant via le protocole DNAv4. Ce problème a été résolu par la désactivation du protocole DNAv4 sur les réseaux Wi-Fi non chiffrés.
Référence CVE
CVE-2012-3725 : Mark Wuergler d’Immunity, Inc.
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : l’affichage d’un fichier TIFF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion par libtiff des fichiers TIFF encodés en ThunderScan. Ce problème a été résolu par la mise à jour de libtiff vers la version 3.9.5.
Référence CVE
CVE-2011-1167
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : l’affichage d’une image PNG malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire existaient au niveau de la gestion des images PNG par libpng. Ces problèmes ont été résolus par une meilleure validation des images PNG.
Référence CVE
CVE-2011-3026 : Jüri Aedla.
CVE-2011-3048
CVE-2011-3328
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : l’affichage d’une image JPEG malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème double existait au niveau de la gestion par ImageIO des images JPEG. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2012-3726 : Phil de PKJE Consulting.
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : l’affichage d’une image TIFF malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de dépassement d’entier existait au niveau de la gestion par libTIFF des images TIFF. Ce problème a été résolu par une meilleure validation des images TIFF. Ce problème n’affecte pas les systèmes OS X Mountain Lion.
Référence CVE
CVE-2012-1173
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : les applications utilisant des composants internationaux pour Unicode peuvent se fermer de manière inopinée ou faire l’objet d’une exécution arbitraire de code.
Description : un problème de dépassement de la mémoire tampon de la pile existait au niveau de la gestion des identifiants locaux ICU. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2011-4599
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : un pirate occupant une position privilégiée sur le réseau peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : libxml présentait plusieurs vulnérabilités, la plus grave pouvant entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ces problèmes ont été résolus par l’application des correctifs appropriés.
Référence CVE
CVE-2011-1944 : Chris Evans de l’équipe de sécurité de Google Chrome.
CVE-2011-2821 : Yang Dingning de NCNIPC, Graduate University of Chinese Academy of Sciences.
CVE-2011-2834 : Yang Dingning de NCNIPC, Graduate University of Chinese Academy of Sciences.
CVE-2011-3919 : Jüri Aedla.
-
Apple TV
Disponible pour : Apple TV (2e génération) et modèles ultérieurs.
Conséquence : un pirate occupant une position privilégiée sur le réseau peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : JavaScriptCore présentait plusieurs problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.
Référence CVE
CVE-2012-0682 : sécurité produit d’Apple.
CVE-2012-0683 : Dave Mandelin de Mozilla.
CVE-2012-3589 : Dave Mandelin de Mozilla.
CVE-2012-3590 : sécurité produit d’Apple.
CVE-2012-3591 : sécurité produit d’Apple.
CVE-2012-3592 : sécurité produit d’Apple.
CVE-2012-3678 : sécurité produit d’Apple.
CVE-2012-3679 : Chris Leary de Mozilla.