Informacije o sigurnosnom sadržaju sustava Apple TV 7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava Apple TV 7.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu Upotreba PGP ključa za sigurnost Appleovih proizvoda.

Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto Appleova sigurnosna ažuriranja.

Apple TV 7

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: napadač može dobiti vjerodajnice za Wi-Fi

    Opis: napadač je mogao hiniti pristupnu točku za Wi-Fi, ponuditi provjeru autentičnosti pomoću LEAP-a, probiti MS-CHAPv1 raspršivanje te iskoristiti tako dobivene vjerodajnice za izvršavanje provjere autentičnosti na određenoj pristupnoj točki, čak i ako ta pristupna točka podržava sigurne metode provjere autentičnosti. Taj je problem riješen uklanjanjem podrške za LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte (Sveučilište Hasselt)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: napadač s pristupom uređaju može pristupiti povjerljivim korisničkim podacima putem zapisa

    Opis: zapisivali su se povjerljivi korisnički podaci. Taj je problem riješen izradom zapisa manjeg broja podataka.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski (OP-Pohjola Group)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: napadač s mrežnim ovlastima može navesti uređaj da procesira ažuriranje kao izvršeno, iako nije

    Opis: otkriven je problem s provjerom valjanosti prilikom rukovanja odgovorima provjere ažuriranja. Lažni datumi u zaglavljima odgovora koji se odnose na posljednju izmjenu postavljeni na datume u budućnosti upotrebljavali su se u provjerama vrste „Ako je izmijenjeno od” u naknadnim zahtjevima za ažuriranje. Taj je problem riješen provjerom zaglavlja „Posljednja izmjena”.

    CVE-ID

    CVE-2014-4383: Raul Siles (DinoSec)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u rukovanju PDF datotekama otkriveno je prekoračenje cijelih brojeva. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano (Binamuse VRT) u suradnji s iSIGHT Partners GVP programom

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili otkrivanje informacija

    Opis: u rukovanju PDF datotekama otkriveno je prekoračenje čitanja memorije. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano (Binamuse VRT) u suradnji s iSIGHT Partners GVP programom

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: aplikacija može izazvati neočekivani pad sustava

    Opis: dereferenca pokazivača s vrijednošću null otkrivena je u rukovanju API argumentima za IOAcceleratorFamily. Taj je problem riješen poboljšanjem provjere API argumenata za IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4369: Catherine (winocm) i Cererdlong (tim za sigurnost mobilnih uređaja tvrtke Alibaba)

    Unos je dodan 3. veljače 2020.
  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: uređaj se može neočekivano ponovno pokrenuti

    Opis: dereferenca pokazivača s vrijednošću null otkrivena je u upravljačkom programu IntelAccelerator. Taj je problem riješen poboljšanim rukovanjem pogreškama.

    CVE-ID

    CVE-2014-4373: cunzhang (Adlab, Venustech)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: zlonamjerna aplikacija može čitati kernelske pokazivače, što se može upotrijebiti za zaobilaženje slučajnog odabira izgleda prostora kernelske adrese

    Opis: u rukovanju funkcijom IOHIDFamily otkriven je problem s čitanjem izvan dopuštenog dosega. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

    Opis: u rukovanju funkcije IOHIDFamily ključnim svojstvima mapiranja otkriveno je veliko prekoračenje međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

    Opis: u rukovanju funkcije IOHIDFamily ključnim svojstvima mapiranja otkrivena je dereferenca pokazivača s vrijednošću null. Taj je problem riješen poboljšanom provjerom ključnih svojstava mapiranja za IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod

    Opis: u proširenju kernela funkcije IOHIDFamily otkriven je problem sa zapisivanjem izvan dopuštenog opsega. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4380: cunzhang (Adlab, Venustech)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: zlonamjerna aplikacija mogla je čitati neinicijalizirane podatke iz kernelske memorije

    Opis: u rukovanju funkcijama IOKit otkriven je problem s pristupom neinicijaliziranoj memoriji. Taj je problem riješen poboljšanom inicijalizacijom memorije.

    CVE-ID

    CVE-2014-4407: (@PanguTeam)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

    Opis: u rukovanju određenim poljima metapodataka IODataQueue objekata otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom metapodataka.

    CVE-ID

    CVE-2014-4418: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

    Opis: u rukovanju određenim poljima metapodataka IODataQueue objekata otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom metapodataka.

    CVE-ID

    CVE-2014-4388: (@PanguTeam)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

    Opis: u rukovanju IOKit funkcijama otkriveno je prekoračenje cijelih brojeva. Taj je problem riješen poboljšanjem provjere API argumenata za IOKit.

    CVE-ID

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: lokalni korisnik mogao je otkriti raspored elemenata kernelske memorije

    Opis: u sučelju za statističke podatke o mreži otkriveno je više problema s neinicijaliziranom memorijom te je stoga bilo moguće otkriti sadržaj kernelske memorije. Taj je problem riješen dodatnom inicijalizacijom memorije.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4419: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4420: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4421: Fermin J. Serna (Googleov tim za sigurnost)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: osoba s mrežnim ovlastima mogla je uzrokovati odbijanje usluge

    Opis: u rukovanju IPv6 paketima otkriven je problem sa stanjem nadmetanja. Taj je problem riješen poboljšanom provjerom zaključanog stanja.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: lokalni korisnik mogao je izazvati neočekivani pad sustava ili izvršavanje proizvoljnog koda u kernelu

    Opis: prilikom rukovanja Mach priključcima pojavio se problem dvostrukog oslobađanja. Taj je problem riješen poboljšanom provjerom Mach priključaka.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: lokalni korisnik mogao je izazvati neočekivani pad sustava ili izvršavanje proizvoljnog koda u kernelu

    Opis: u funkciji rt_setgate otkriven je problem s čitanjem izvan dopuštenog opsega. To može uzrokovati otkrivanje ili oštećenje memorije. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: postojala je mogućnost zaobilaženja nekih mjera za zaštitu kernela

    Opis: generator nasumičnih brojeva rane faze koji se upotrebljava za zaštitu kernela nije bio kriptografski siguran te su se neki od rezultata mogli izvesti iz korisničkog prostora dopuštajući zaobilaženje mjera zaštite. Taj je problem riješen upotrebom generatora nasumičnih brojeva s algoritmom koji je kriptografski siguran i 16-bitne razvojne verzije.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt (Azimuth Security)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: uz korijenske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

    Opis: u medijateci Libnotify otkriven je problem sa zapisivanjem izvan dopuštenog opsega. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: lokalni korisnik mogao je promijeniti dozvole proizvoljnih datoteka

    Opis: syslogd je pratio simbolične veze prilikom promjene dozvola za datoteke. Taj je problem riješen poboljšanim rukovanjem simboličnim vezama.

    CVE-ID

    CVE-2014-4372: Tielei Wang i YeongJin Jang (Georgia Tech Information Security Center (GTISC))

  • Apple TV

    Dostupno za: Apple TV treće generacije ili novije verzije

    Učinak: napadač s mrežnim ovlastima može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2013-6663: Atte Kettunen (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: tim za sigurnost preglednika Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel (Google)

    CVE-2014-4411: tim za sigurnost preglednika Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: