מידע על תוכני האבטחה של Apple TV 7‏

מסמך זה מתאר את תוכני האבטחה של Apple TV 7‏.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple.

היכן שניתן, מזהי CVE ID משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא עדכוני אבטחה של Apple.

‏Apple TV 7‏

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: תוקף יכול להשיג הרשאות ל-Wi-Fi

    תיאור: תוקף היה יכול להתחזות לנקודת גישה ל-Wi-Fi, להציע אימות עם LEAP, לשבור את קוד ה-Hash ‏MS-CHAPv1 ולהשתמש בהרשאות הנגזרות על מנת לאמת לנקודת הגישה המיועדת, גם אם נקודת גישה זו תומכת בשיטות אימות חזקות יותר. בעיה זו נפתרה על ידי הסרת התמיכה ל-LEAP‏.

    CVE-ID

    CVE-2014-4364 : פיטר רובינס, בראם בון, וים לאמוט ופיטר קוואקס מ-Universiteit Hasselt

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: תוקף עם גישה למכשיר עשוי לגשת לפרטי משתמש רגישים ביומנים

    תיאור: תועד מידע רגיש של המשתמש. בעיה זו טופלה על-ידי תיעוד פחות מידע.

    CVE-ID

    CVE-2014-4357: הלי מיליקוסקי מ-OP-Pohjola Group

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: תוקף במיקום מורשה ברשת יכול לגרום למכשיר להניח שהוא מעודכן גם כאשר אינו מעודכן

    תיאור: בעיית אימות הייתה קיימת בטיפול בתגובות של בדיקת עדכונים. תאריכים מזויפים מכותרות תגובה מסוג 'שונה לאחרונה' שימשו עבור בדיקות 'אם השתנה מאז' בבקשות עדכון עוקבות. הבעיה טופלה על-ידי אימות הכותרת 'שונה לאחרונה'.

    CVE-ID

    CVE-2014-4383: ראול סיילס מ-DinoSec

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    תיאור: גלישה נומרית הייתה קיימת בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4377: פליפה אנדרס מנזאנו מ-Binamuse VRT בעבודה עם iSIGHT Partners GVP Program

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או לחשיפת מידע

    תיאור: קריאת זיכרון מחוץ לטווח הייתה קיימת בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4378: פליפה אנדרס מנזאנו מ-Binamuse VRT בעבודה עם iSIGHT Partners GVP Program

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה עשויה לגרום לסיום בלתי צפוי של פעולת המערכת

    תיאור: גישה לערך מצביע Null הייתה קיימת בטיפול בארגומנטים מסוג IOAcceleratorFamily API. בעיה זו טופלה באמצעות אימות משופר של ארגומנטים מסוג IOAcceleratorFamily API.

    CVE-ID

    CVE-2014-4369: שרה הידועה בשם winocm ו-Cererdlong מ-Alibaba Mobile Security Team

    הערך נוסף ב-3 בפברואר 2020
  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: המכשיר עשוי להתחיל לפעול מחדש באופן בלתי צפוי

    תיאור: גישה לערך מצביע NULL הייתה קיימת במנהל ההתקן IntelAccelerator. הבעיה נפתרה בעזרת טיפול משופר בשגיאות.

    CVE-ID

    CVE-2014-4373: קונז'אנג מ-Adlab of Venustech

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח לקרוא מצביעי ליבה, שעשויים לשמש לעקיפת אקראיות של מתווה מרחב כתובת ליבה

    תיאור: בעיית קריאה מחוץ לטווח הייתה קיימת בטיפול בפונקציית IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4379: איאן ביר מ-Google Project Zero

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: גלישת חוצץ ערימה הייתה קיימת בטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4404: איאן ביר מ-Google Project Zero

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: גישה לערך מצביע Null הייתה קיימת בטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות אימות משופר של מאפייני מיפוי מפתחות של IOHIDFamily.

    CVE-ID

    CVE-2014-4405: איאן ביר מ-Google Project Zero

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

    תיאור: בעיית כתיבה מחוץ לטווח הייתה קיימת בהרחבת הליבה של IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4380: קונז'אנג מ-Adlab of Venustech

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח לקרוא נתונים לא מאותחלים מזיכרון ליבה

    תיאור: בעיית גישה לזיכרון לא מאותחל הייתה קיימת בטיפול בפונקציות IOKit. בעיה זו טופלה באמצעות אתחול משופר של הזיכרון

    CVE-ID

    CVE-2014-4407:‏ ‎@PanguTeam

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: בעיית אימות הייתה קיימת בטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueu. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.

    CVE-ID

    CVE-2014-4418: איאן ביר מ-Google Project Zero

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: בעיית אימות הייתה קיימת בטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueu. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.

    CVE-ID

    CVE-2014-4388:‏ ‎@PanguTeam

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: גלישה נומרית הייתה קיימת בטיפול בפונקציות IOKit. בעיה זו טופלה באמצעות אימות משופר של ארגומנטים מסוג IOKit API.

    CVE-ID

    CVE-2014-4389: איאן ביר מ-Google Project Zero

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: משתמש מקומי עלול להצליח לקבוע את פריסת זיכרון הליבה

    תיאור: בעיות מרובות של זיכרון לא מאותחל בממשק הסטטיסטיקה של הרשת, שהובילו לחשיפת התוכן של זיכרון הליבה. בעיה זו טופלה באמצעות אתחול נוסף של הזיכרון.

    CVE-ID

    CVE-2014-4371: פרמין ג' סרנה מ-Google Security Team

    CVE-2014-4419: פרמין ג' סרנה מ-Google Security Team

    CVE-2014-4420: פרמין ג' סרנה מ-Google Security Team

    CVE-2014-4421: פרמין ג' סרנה מ-Google Security Team

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אדם עם תפקיד בעל הרשאות ברשת עלול לגרום לסירוב שירות

    תיאור: בעיית מרוץ תהליכים הייתה קיימת בטיפול בחבילות IPv6. בעיה זו טופלה באמצעות בדיקה משופרת של מצב נעילה.

    CVE-ID

    CVE-2011-2391: מארק הויזה

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של פעולת המערכת או להפעלת קוד שרירותי בליבה

    תיאור: בעיית שחרור כפול הייתה קיימת בטיפול ביציאות Mach. בעיה זו טופלה באמצעות אימות משופר של יציאות Mach.

    CVE-ID

    CVE-2014-4375

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של פעולת המערכת או להפעלת קוד שרירותי בליבה

    תיאור: בעיית קריאה מחוץ לטווח הייתה קיימת ב-rt_setgate. זה עלול להוביל לחשיפת הזיכרון או להשחתת הזיכרון. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4408

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: ניתן לעקוף חלק מאמצעי ההקשחה של הליבה

    תיאור: מחולל המספרים האקראיים 'המוקדם' שמשמש חלק מאמצעי ההקשחה של הליבה לא היה מאובטח מבחינה קריפטוגרפית, וחלק מהפלט שלו היה חשוף למקומות של משתמשים, ואיפשר בכך לעקוף את אמצעי ההקשחה. בעיה זו טופלה על ידי החלפת מחולל המספרים האקראיים באלגוריתם מאובטח מבחינה קריפטוגרפית, ושימוש בשורש של 16 בתים.

    CVE-ID

    CVE-2014-4422: טארג'י מאנדט מ-Azimuth Security

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות בסיס

    תיאור: בעיית כתיבה מחוץ לטווח הייתה קיימת ב-Libnotify. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4381: איאן ביר מ-Google Project Zero

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: משתמש מקומי עלול להצליח לשנות הרשאות בקבצים שרירותיים

    תיאור: תוכניות syslogd פעלו בהתאם לקישורים סמליים תוך שינוי הרשאות בקבצים. הבעיה נפתרה בעזרת טיפול משופר בקישורים סמליים.

    CVE-ID

    CVE-2014-4372: טיליי וואנג ו-יאונגג'ינג ג'אנג מ-Georgia Tech Information Security Center‏ (GTISC)

  • ‏Apple TV

    זמין עבור: Apple TV מדור שלישי ואילך

    השפעה: תוקף במיקום מורשה ברשת יכול לגרום להפסקת פעולה בלתי צפויה של אפליקציה או לביצוע קוד שרירותי

    תיאור: בעיות מרובות של השחתת זיכרון היו קיימות ב-WebKit. בעיות אלו נפתרו בעזרת טיפול משופר בזיכרון.

    CVE-ID

    CVE-2013-6663: אטה קטונן מ-OUSPG

    CVE-2014-1384:‏ ‏Apple

    CVE-2014-1385:‏ ‏Apple

    CVE-2014-1387:‏ Google Chrome Security Team

    CVE-2014-1388:‏ ‏Apple

    CVE-2014-1389:‏ ‏Apple

    CVE-2014-4410: אריק סיידל מ-Google

    CVE-2014-4411:‏ Google Chrome Security Team

    CVE-2014-4412:‏ ‏Apple

    CVE-2014-4413:‏ ‏Apple

    CVE-2014-4414:‏ ‏Apple

    CVE-2014-4415:‏ ‏Apple

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: