מידע על תוכני האבטחה של Apple TV 7‏

מסמך זה מתאר את תוכני האבטחה של Apple TV 7‏.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple.

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא עדכוני אבטחה של Apple.

‏Apple TV 7‏

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: תוקף עלול להשיג את הרשאות ההתחברות לרשת אלחוטית

    תיאור: ייתכן שתוקף התחזה לנקודת גישה לרשת אלחוטית, הציע לבצע אימות עם LEAP, שבר את צירוף ה-hash של MS-CHAPv1, והשתמש בהרשאות שנגזרו כדי לבצע אימות בנקודת הגישה הייעודית למרות העובדה שנקודת גישה זו תומכת בשיטות אימות חזקות יותר. בעיה זו נפתרה על ידי הסרת התמיכה ל-LEAP‏.

    CVE-ID

    ‏CVE-2014-4364: ‏Pieter Robyns, ‏Bram Bonne, ‏Peter Quax ו-Wim Lamotte מ-Universiteit Hasselt

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: תוקף עם גישה למכשיר מסוים עשוי לגשת למידע רגיש של המשתמש דרך קובצי רישום

    תיאור: מידע רגיש של המשתמש נרשם. בעיה זו טופלה על-ידי תיעוד פחות מידע.

    CVE-ID

    ‏CVE-2014-4357 : ‏Heli Myllykoski מ-OP-Pohjola Group

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: תוקף עם מיקום מורשה ברשת עשוי להצליח לגרום למכשיר מסוים לחשוב שהוא מעודכן למרות שאינו מעודכן

    תיאור: הייתה בעיית אימות בטיפול בתגובות על בדיקת עדכון. תאריכים מזויפים מכותרות תגובה מסוג 'שונה לאחרונה' שימשו עבור בדיקות 'אם השתנה מאז' בבקשות עדכון עוקבות. הבעיה טופלה על-ידי אימות הכותרת 'שונה לאחרונה'.

    CVE-ID

    ‏CVE-2014-4383: ‏Raul Siles מ-DinoSec

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לעצירה בלתי צפויה של יישום או להפעלה שרירותית של קוד

    תיאור: הייתה גלישה נומרית בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4377: ‏Felipe Andres Manzano מ-Binamuse VRT בעבודה עם iSIGHT Partners GVP Program

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של יישום או לחשיפת מידע

    תיאור: הייתה קריאת זיכרון מחוץ לטווח בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4378: ‏Felipe Andres Manzano מ-Binamuse VRT בעבודה עם iSIGHT Partners GVP Program

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך השפעה: יישום עשוי לגרום לסיום בלתי צפוי של המערכת תיאור: ביטול הפניה של מצביע אפס התקיים בעת הטיפול בארגומנטים מסוג IOAcceleratorFamily API. בעיה זו טופלה על-ידי שיפור האימות של הארגומנטים מסוג IOAcceleratorFamily API.CVE-IDCVE-2014-4369: ‏Sarah המכונה winocm ו-Cererdlong מצוות אבטחת מכשירים ניידים ב-Alibaba

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry added February 3, 2020

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: תיתכן הפעלה מחדש של המכשיר באופן בלתי צפוי

    תיאור: ביטול הפניה של מצביע אפס התקיים במנהל ההתקן של IntelAccelerator. הבעיה נפתרה בעזרת טיפול משופר בשגיאות.

    CVE-ID

    CVE-2014-4373: ‏cunzhang מ-Adlab of Venustech

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עשוי להצליח לקרוא מצביעי ליבה, והדבר עשוי לשמש לעקיפת ההקצאה האקראית של פריסת מרחב כתובות הליבה

    תיאור: אירעה בעיית קריאה מחוץ לטווח במסגרת הטיפול בפונקציית IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4379: ‏Ian Beer מ-Google Project Zero

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירעה גלישת חוצץ בערימה בעת הטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4404: ‏Ian Beer מ-Google Project Zero

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירע ביטול הפניה של מצביע אפס בעת הטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות אימות משופר של מאפייני מיפוי מפתחות של IOHIDFamily.

    CVE-ID

    ‏CVE-2014-4405: ‏Ian Beer מ-Google Project Zero

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

    תיאור: אירעה בעיית כתיבה מחוץ לתחום בהרחבת ליבה של IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4380: ‏cunzhang מ-Adlab of Venustech

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עלול להצליח לקרוא נתונים לא מאותחלים מזיכרון ליבה

    תיאור: אירעה בעיית גישה לזיכרון לא מאותחל במסגרת הטיפול בפונקציות IOKit. בעיה זו טופלה על-ידי אתחול זיכרון משופר

    CVE-ID

    ‏CVE-2014-4407: ‏‎@PanguTeam

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירעה בעיית אימות במסגרת הטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueue. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.

    CVE-ID

    ‏CVE-2014-4418: ‏Ian Beer מ-Google Project Zero

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירעה בעיית אימות במסגרת הטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueue. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.

    CVE-ID

    ‏CVE-2014-4388: ‏‎@PanguTeam

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירעה גלישה נומרית בטיפול בפונקציות IOKit. בעיה זו טופלה באמצעות אימות משופר של ארגומנטים מסוג IOKit API.

    CVE-ID

    ‏CVE-2014-4389: ‏Ian Beer מ-Google Project Zero

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: משתמש מקומי עשוי להצליח לקבוע את הפריסה של זיכרון ליבה

    תיאור: מספר בעיות של זיכרון לא מאותחל התקיימו בממשק הנתונים הסטטיסטיים של הרשת, ומצב זה הוביל לחשיפת התוכן של זיכרון הליבה. בעיה זו טופלה באמצעות אתחול נוסף של הזיכרון.

    CVE-ID

    ‏CVE-2014-4371 : ‏Fermin J. Serna מצוות האבטחה של Google

    ‏CVE-2014-4419: ‏Fermin J. Serna מצוות האבטחה של Google

    ‏CVE-2014-4420: ‏Fermin J. Serna מצוות האבטחה של Google

    ‏CVE-2014-4421: ‏Fermin J. Serna מצוות האבטחה של Google

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: אדם עם מיקום מורשה ברשת עלול לגרום למניעת שירות

    תיאור: אירעה בעיית מרוץ תהליכים במסגרת הטיפול במנותIPv6. בעיה זו טופלה באמצעות בדיקה משופרת של מצב נעילה.

    CVE-ID

    ‏CVE-2011-2391: ‏Marc Heuse

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: משתמש מקומי עלול להצליח לגרום לעצירה בלתי צפויה של המערכת או להפעלה שרירותית של קוד בליבה

    תיאור: אירעה בעיית שחרור כפול במסגרת הטיפול ביציאות Mach. בעיה זו טופלה באמצעות אימות משופר של יציאות Mach.

    CVE-ID

    ‏CVE-2014-4375

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: משתמש מקומי עלול להצליח לגרום לעצירה בלתי צפויה של המערכת או להפעלה שרירותית של קוד בליבה

    תיאור: אירעה בעיית קריאה מחוץ לטווח ב-rt_setgate. זה עלול להוביל לחשיפת הזיכרון או להשחתת הזיכרון. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4408

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: ייתכן שחלק מאמצעי הקשחת הליבה נעקפו

    תיאור: מחולל המספרים האקראיים ה'מוקדם' שהיה בשימוש בחלק מאמצעי הקשחת הליבה לא היה מאובטח מבחינה קריפטוגרפית, וחלק מהפלט שלו נחשף במרחב המשתמש באופן שאפשר לעקוף את אמצעי ההקשחה. בעיה זו טופלה על ידי החלפת מחולל המספרים האקראיים באלגוריתם מאובטח מבחינה קריפטוגרפית, ושימוש בשורש של 16 בתים.

    CVE-ID

    ‏CVE-2014-4422: ‏Tarjei Mandt מצוות האבטחה של Azimuth

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות בסיס

    תיאור: אירעה בעיית כתיבה מחוץ לתחום ב-Libnotify. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4381: ‏Ian Beer מ-Google Project Zero

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: משתמש מקומי עלול להצליח לשנות הרשאות בקבצים שרירותיים

    תיאור: syslogd הגיע אחרי קישורים סמליים בעת שינוי ההרשאות בקבצים. הבעיה נפתרה בעזרת טיפול משופר בקישורים סמליים.

    CVE-ID

    ‏CVE-2014-4372: ‏Tielei Wang ו-YeongJin Jang מ-Georgia Tech Information Security Center ‏(GTISC)

  • Apple TV

    זמין עבור: Apple TV דור 3 ואילך

    השפעה: תוקף עם מיקום מורשה ברשת עלול לגרום לעצירה בלתי צפויה של יישום או להפעלה שרירותית של קוד

    תיאור: אירעו מספר בעיות השחתת זיכרון ב-WebKit. בעיות אלו נפתרו בעזרת טיפול משופר בזיכרון.

    CVE-ID

    ‏CVE-2013-6663: ‏Atte Kettunen מ-OUSPG

    ‏CVE-2014-1384: ‏Apple

    CVE-2014-1385: ‏Apple

    ‏CVE-2014-1387: צוות האבטחה של Google Chrome

    ‏CVE-2014-1388: ‏Apple

    ‏CVE-2014-1389: ‏Apple

    ‏CVE-2014-4410: ‏Eric Seidel מ-Google

    ‏CVE-2014-4411: צוות האבטחה של Google Chrome

    ‏CVE-2014-4412: ‏Apple

    ‏CVE-2014-4413: ‏Apple

    ‏CVE-2014-4414: ‏Apple

    ‏CVE-2014-4415: ‏Apple

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: