Az Apple TV 6.1 biztonsági tartalma
Ez a dokumentum az Apple TV 6.1 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Apple TV 6.1
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Az Apple TV-hez hozzáféréssel rendelkező támadók meg tudták szerezni a bizalmas felhasználói adatokat a naplókból.
Leírás: Naplózásra kerültek a felhasználó bizalmas adatai. A problémát kevesebb adat naplózásával küszöbölték ki.
CVE-azonosító
CVE-2014-1279 : David Schuetz (az Intrepidus Group munkatársa)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A konfigurációs profilok lejárati dátumainak figyelmen kívül hagyása.
Leírás: A mobil konfigurációs profilok lejárati dátumainak kiértékelése nem történt meg megfelelően. A problémát a konfigurációs profilok hatékonyabb kezelésével küszöbölték ki.
CVE-azonosító
CVE-2014-1267
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A rosszindulatú alkalmazások váratlan rendszerleállást tudtak kiváltani.
Leírás: Egy elérhető helyességi feltételekkel kapcsolatos hiba állt fenn az IOKit API hívások CoreCapture általi kezelésében. A problémát az IOKit felől érkező bemenet további hitelesítésével küszöbölték ki.
CVE-azonosító
CVE-2014-1271 : Filippo Bigarella
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók módosítani tudtak tetszőleges fájlokhoz tartozó jogosultságokat.
Leírás: A CrashHouseKeeping szimbolikus hivatkozásokat követett a fájlokhoz társított jogosultságok módosításakor. A problémát azzal küszöbölték ki, hogy leállították a szimbolikus hivatkozások követését a fájlokhoz társított jogosultságok módosításakor.
CVE-azonosító
CVE-2014-1272 : evad3rs
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Megkerülhetők voltak a kódaláírási követelmények.
Leírás: A dinamikus könyvtárakban lévő szöveg-áthelyezési utasításokat be tudta tölteni a dyld a kódaláírás hitelesítése nélkül is. A problémát a szöveg-áthelyezési utasítások figyelmen kívül hagyásával küszöbölték ki.
CVE-azonosító
CVE-2014-1273 : evad3rs
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a PDF-fájlokban lévő JPEG2000-képek kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1275 : Felix Groebert (a Google Chrome biztonsági csapata)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett
Leírás: Puffertúlcsordulás lépett fel a TIFF-képek libtiff általi kezelésekor. A TIFF-képek további ellenőrzésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-2088
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintése a memória tartalmának közzétételéhez vezetett.
Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel a JPEG-jelölők libjpeg általi kezelésekor, ami a memória tartalmának közzétételét okozhatta. A JPEG-képek további ellenőrzésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2013-6629 : Michal Zalewski
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben
Leírás: Határértéket túllépő memóriaelérési probléma állt fenn az ARM ptmx_get_ioctl függvénnyel kapcsolatban. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1278 : evad3rs
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: El lehetett rejteni egy konfigurációs profilt a felhasználó elől.
Leírás: Be lehetett tölteni egy hosszú névvel rendelkező konfigurációs profilt a készülékre, de nem jelent meg a profil felhasználói felületén. A problémát a profilnevek hatékonyabb kezelésével küszöbölték ki.
CVE-azonosító
CVE-2014-1282 : Assaf Hefetz, Yair Amit és Adi Sharabani (Skycure)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek tetszőleges programkód végrehajtását tudták előidézni kernel módban.
Leírás: Memóriahibát előidéző probléma lépett fel az USB-üzenetek kezelésekor. A problémát az USB-üzenetek további hitelesítésével küszöbölték ki.
CVE-azonosító
CVE-2014-1287 : Andy Davis (NCC Group)
WebKit
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2013-2909 : Atte Kettunen (OUSPG)
CVE-2013-2926 : cloudfuzzer
CVE-2013-2928 : A Google Chrome biztonsági csapata
CVE-2013-5196 : A Google Chrome biztonsági csapata
CVE-2013-5197 : A Google Chrome biztonsági csapata
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225 : A Google Chrome biztonsági csapata
CVE-2013-5228 : Keen Team (@K33nTeam), a HP Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2013-6625 : cloudfuzzer
CVE-2013-6635 : cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290 : ant4g0nist (SegFault) a HP Zero Day Initiative kezdeményezésének közreműködőjeként, a Google Chrome biztonsági csapata
CVE-2014-1291 : A Google Chrome biztonsági csapata
CVE-2014-1292 : A Google Chrome biztonsági csapata
CVE-2014-1293 : A Google Chrome biztonsági csapata
CVE-2014-1294 : A Google Chrome biztonsági csapata
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videók lejátszásakor a készülék nem reagált.
Leírás: Null dereferencia lépett fel az MPEG-4 kódolású fájlok kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2014-1280 : rg0rd
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.