Informacije o sigurnosnom sadržaju sustava Apple TV 7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava Apple TV 7.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu Upotreba PGP ključa za sigurnost Appleovih proizvoda.

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto Appleova sigurnosna ažuriranja.

Apple TV 7

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: napadač može dobiti vjerodajnice za Wi-Fi

    Opis: napadač je mogao oponašati pristupnu točku za Wi-Fi, ponuditi provjeru autentičnosti pomoću LEAP-a, probiti MS-CHAPv1 raspršivanje te iskoristiti tako dobivene vjerodajnice za izvršavanje provjere autentičnosti na određenoj pristupnoj točki, čak i ako ta pristupna točka podržava sigurne metode provjere autentičnosti. Taj je problem riješen uklanjanjem podrške za LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte (Sveučilište Hasselt)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: napadač s pristupom uređaju mogao bi pristupiti povjerljivim korisničkim podacima putem zapisa

    Opis: zapisivali su se povjerljivi korisnički podaci. Taj je problem riješen izradom zapisa manjeg broja podataka.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski (OP-Pohjola Group)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: napadač s mrežnim ovlastima mogao bi navesti iOS uređaj da prepozna ažuriranje kao izvršeno, iako nije

    Opis: postojao je problem s provjerom valjanosti prilikom rukovanja odgovorima provjere ažuriranja. Lažni datumi u zaglavljima odgovora koji se odnose na posljednju izmjenu postavljeni na datume u budućnosti upotrebljavali su se u provjerama vrste „Ako je izmijenjeno od” u naknadnim zahtjevima za ažuriranje. Taj je problem riješen provjerom zaglavlja „Posljednja izmjena”.

    CVE-ID

    CVE- IDCVE-2014-4383: Raul Siles (DinoSec)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    IUčinak: otvaranje zlonamjerno izrađene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u rukovanju PDF datotekama postojalo je prekoračenje cijelog broja. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano (Binamuse VRT) u suradnji s iSIGHT Partners GVP programom

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    IUčinak: otvaranje zlonamjerno izrađene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u rukovanju PDF datotekama postojalo je prekoračenje čitanja memorije. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano (Binamuse VRT) u suradnji s iSIGHT Partners GVP programom

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji Učinak: aplikacija bi mogla uzrokovati neočekivani pad sustava Opis: dereferenca pokazivača s vrijednošću null postojala je u rukovanju API argumentima za IOAcceleratorFamily. Taj je problem riješen poboljšanjem provjere API argumenata za IOAcceleratorFamily. CVE-IDCVE-2014-4369: Sarah (winocm) i Cererdlong (Alibaba Mobile Security Team)

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry added February 3, 2020

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: uređaj bi se mogao neočekivano ponovno pokrenuti

    Opis: dereferenca pokazivača s vrijednošću null otkrivena je u upravljačkom programu IntelAccelerator. Taj je problem riješen poboljšanim rukovanjem pogreškama.

    CVE-ID

    CVE-2014-4373: cunzhang (Adlab, Venustech)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla čitati kernelske pokazivače, što se može upotrijebiti za zaobilaženje slučajnog odabira izgleda prostora kernelske adrese

    Opis: u rukovanju funkcijom IOHIDFamily postojao je problem s čitanjem izvan dopuštenog ograničenja. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla izvršavati proizvoljni kod s ovlastima sustava

    Opis: u rukovanju funkcije IOHIDFamily ključnim svojstvima mapiranja postojalo je veliko prekoračenje međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla izvršavati proizvoljni kod s ovlastima sustava

    Opis: u rukovanju funkcije IOHIDFamily ključnim svojstvima mapiranja postojala je dereferenca pokazivača s vrijednošću null. Taj je problem riješen poboljšanom provjerom ključnih svojstava mapiranja za IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla izvršavati proizvoljni kod s ovlastima sustava

    Opis: u proširenju kernela funkcije IOHIDFamily postojao je problem sa zapisivanjem izvan dopuštenog ograničenja. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4380: cunzhang (Adlab, Venustech)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla čitati neinicijalizirane podatke iz kernelske memorije

    Opis: u rukovanju funkcijama IOKit postojao je problem s pristupom neinicijaliziranoj memoriji. Taj je problem riješen poboljšanom inicijalizacijom memorije

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla izvršavati proizvoljni kod s ovlastima sustava

    Opis: u rukovanju određenim poljima metapodataka IODataQueue objekata postojao je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom metapodataka.

    CVE-ID

    CVE-2014-4418: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla izvršavati proizvoljni kod s ovlastima sustava

    Opis: u rukovanju određenim poljima metapodataka IODataQueue objekata postojao je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom metapodataka.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla izvršavati proizvoljni kod s ovlastima sustava

    Opis: u rukovanju IOKit funkcijama postojalo je prekoračenje cijelog broja. Taj je problem riješen poboljšanjem provjere API argumenata za IOKit.

    CVE-ID

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: lokalni bi korisnik mogao otkriti raspored elemenata kernelske memorije

    Opis: u sučelju za statističke podatke o mreži postojalo je više problema s neinicijaliziranom memorijom te je stoga bilo moguće otkriti sadržaj kernelske memorije. Taj je problem riješen dodatnom inicijalizacijom memorije.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4419: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4420: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4421: Fermin J. Serna (Googleov tim za sigurnost)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: osoba s mrežnim ovlastima mogla bi izazvati odbijanje usluge

    Opis: u rukovanju IPv6 paketima postojao je uvjet nadvladavanja. Taj je problem riješen poboljšanom provjerom zaključanog stanja.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: lokalni korisnik mogao bi izazvati neočekivani pad sustava ili izvršavanje proizvoljnog koda u kernelu

    Opis: u rukovanju Mach priključcima postojao je problem dvostrukog oslobađanja. Taj je problem riješen poboljšanom provjerom Mach priključaka.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: lokalni korisnik mogao bi izazvati neočekivani pad sustava ili izvršavanje proizvoljnog koda u kernelu

    Opis: u funkciji rt_setgate postojao je problem s čitanjem izvan dopuštenog ograničenja. To može uzrokovati otkrivanje ili oštećenje memorije. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: neke bi se mjere za zaštitu kernela mogle zaobići

    Opis: generator nasumičnih brojeva rane faze koji se upotrebljava za zaštitu kernela nije bio kriptografski siguran te su se neki od rezultata mogli izvesti iz korisničkog prostora dopuštajući zaobilaženje mjera za zaštitu. Taj je problem riješen upotrebom generatora nasumičnih brojeva s algoritmom koji je kriptografski siguran i 16-bitne razvojne verzije.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt (Azimuth Security)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: zlonamjerna bi aplikacija mogla izvršavati proizvoljni kod s korijenskim ovlastima

    Opis: u medijateci Libnotify postojao je problem sa zapisivanjem izvan dopuštenog ograničenja. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: lokalni korisnik mogao bi promijeniti dozvole proizvoljnih datoteka

    Opis: syslogd je pratio simbolične veze prilikom promjene dozvola za datoteke. Taj je problem riješen poboljšanim rukovanjem simboličnim vezama.

    CVE-ID

    CVE-2014-4372: Tielei Wang i YeongJin Jang (Georgia Tech Information Security Center (GTISC))

  • Apple TV

    Dostupno za: Apple TV (treće generacije) i noviji

    Učinak: napadač s mrežnim ovlastima mogao bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u programu WebKit postojalo je više problema s oštećenjem memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2013-6663: Atte Kettunen (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Googleov tim za sigurnost za Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel (Google)

    CVE-2014-4411: Googleov tim za sigurnost za Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: