מידע על תוכן האבטחה של עדכון תוכנה 4.4 של Apple TV
מסמך זה מתאר את תוכן האבטחה של עדכון תוכנה 4.4 של Apple TV.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.
למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".
היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.
כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple.
עדכון תוכנה 4.4 של Apple TV
Apple TV
זמין עבור: Apple TV גרסאות 4.0 עד 4.3
השפעה: תוקף עם מיקום מורשה ברשת עלול ליירט הרשאות התחברות של משתמש או מידע רגיש אחר
תיאור: רשויות אישורים שונות שמופעלות על ידי DigiNotar הנפיקו הרשאות כוזבות. בעיה זו טופלה על ידי הסרת DigiNotar מרשימת אישורי הבסיס המהימנים ומרשימת רשויות האישורים מסוג אימות מורחב (EV), וכן על ידי קביעת הגדרות אמון במערכת המהוות ברירת מחדל כך שאישורי DigiNotar, כולל אלה שהונפקו על ידי רשויות אחרות, לא יהיו מהימנים.
Apple TV
זמין עבור: Apple TV גרסאות 4.0 עד 4.3
השפעה: תמיכה באישורי X.509 עם פונקציות hash של MD5 עלולה לחשוף את המשתמשים לזיוף ולחשיפה של מידע, ככל שההתקפות משתפרות
תיאור: אישורים שנחתמו באמצעות אלגוריתם ה-hash של MD5 התקבלו על ידי iOS. לאלגוריתם זה יש חולשות הצפנה ידועות. המשך מחקר או רשות אישורים עם הגדרה שגויה היו עלולים לאפשר יצירה של אישורי X.509 עם ערכים בשליטת התוקף שהמערכת הייתה נותנת בהם אמון. דבר זה היה חושף פרוטוקולים מבוססי X.509 לזיוף זהות, להתקפות אדם בתווך ולחשיפת מידע. עדכון זה משבית תמיכה עבור אישור X.509 עם Hash מסוג MD5 לכל שימוש אחר מלבד אישור בסיס מהימן.
CVE-ID
CVE-2011-3427
Apple TV
זמין עבור: Apple TV גרסאות 4.0 עד 4.3
השפעה: תוקף הצליח לפענח חלק מחיבור SSL
תיאור: הייתה תמיכה רק בגרסאות SSLv3 ו-TLS 1.0 של SSL. גרסאות אלה נתונות לחולשת פרוטוקול בעת שימוש בצופני בלוקים. תוקף מסוג אדם בתווך היה עלול להזריק נתונים לא חוקיים ולגרום לחיבור להיסגר, אך לחשוף מידע מסוים על הנתונים הקודמים. במקרה של ניסיונות התחברות חוזרים באמצעות אותו חיבור, בסופו של דבר התוקף היה יכול לפענח את הנתונים הנשלחים, למשל סיסמה. בעיה זו טופלה על ידי הוספת תמיכה ב-TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
זמין עבור: Apple TV גרסאות 4.0 עד 4.3
השפעה: הצגת תמונת TIFF בעלת מבנה זדוני עלולה להביא לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: הייתה בעיה של גלישת חוצץ בטיפול של libTIFF בתמונות TIFF בעלות קידוד CCITT קבוצה 4.
CVE-ID
CVE-2011-0192: Apple
Apple TV
זמין עבור: Apple TV גרסאות 4.0 עד 4.3
השפעה: הצגת תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: אירעה גלישת חוצץ בערימה בטיפול של ImageIO בתמונות TIFF בעלות קידוד CCITT קבוצה 4.
CVE-ID
CVE-2011-0241 : Cyril CATTIAUX מ-Tessi Technologies
Apple TV
זמין עבור: Apple TV גרסאות 4.0 עד 4.3
השפעה: תוקף מרוחק עלול לגרום לאיפוס מכשיר
תיאור: הליבה לא הצליחה לדרוש זיכרון במהירות מחיבורי TCP שלא הושלמו. תוקף בעל היכולת להתחבר לשירות מאזין במכשיר iOS עלול לנצל את משאבי המערכת.
CVE-ID
CVE-2011-3259: Wouter van der Veer מ-Topicus I&I, ו-Josh Enders
Apple TV
זמין עבור: Apple TV גרסאות 4.0 עד 4.3
השפעה: תוקף עם מיקום מורשה ברשת עלול לגרום לסיום בלתי מורשה של יישום או להפעלת קוד שרירותי
תיאור: אירעה גלישת חוצץ בערימת בית-אחד בטיפול של libxml בנתוני XML.
CVE-ID
CVE-2011-0216: Billy Rios מצוות האבטחה של Google
Apple TV
זמין עבור: Apple TV גרסאות 4.0 עד 4.3
השפעה: תוקף עם מיקום מורשה ברשת עלול לגרום לעצירה בלתי צפויה של יישום או להפעלה שרירותית של קוד
תיאור: הייתה בעיה של השחתת זיכרון ב-JavaScriptCore.
CVE-ID
CVE-2011-3232 : Aki Helin מ-OUSPG
חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש ליצור קשר עם הספק לקבלת מידע נוסף.