Az Apple TV 6.0 biztonsági tartalma
Ez a cikk az Apple TV 6.0 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Apple TV 6.0
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a JBIG2 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. További határérték-ellenőrzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2013-1025 : Felix Groebert (Google Security Team)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a Sorenson-kódolású filmfájlok kezelésével összefüggésben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2013-1019 : Tom Gallagher (Microsoft) és Paul Bates (Microsoft) a HP Zero Day Initiative kezdeményezésének közreműködőiként
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.
Lírás: A TrustWave nevű megbízható legfelső szintű hitelesítésszolgáltató kiadott, majd visszavont egy alhitelesítés-szolgáltatói tanúsítványt az egyik megbízható horgonytól. Ez az alhitelesítés-szolgáltatói tanúsítvány lehetővé tette a TLS használatával folytatott kommunikáció lehallgatását. A frissítés hozzáadja az érintett alhitelesítés-szolgáltatói tanúsítványokat az OS X nem megbízható tanúsítványainak listájához.
CVE-azonosító
CVE-2013-5134
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Egy támadó, akinek tetszőleges kódvégrehajtási joga van egy készüléken, az újraindítás során is képes kód végrehajtására.
Leírás: Több puffer-túlcsordulási hiba is előfordul a dyld openSharedCacheFile() függvényében. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2013-3950 : Stefan Esser
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG2000 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. További határérték-ellenőrzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2013-1026 : Felix Groebert (Google Security Team)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Egy rosszindulatú helyi alkalmazás váratlan rendszerleállást tudott kiváltani.
Leírás: Az IOCatalogue alkalmazásban címke nélküli mutatófeloldási hiba volt. A problémát további típusellenőrzéssel küszöbölték ki.
CVE-azonosító
CVE-2013-5138 : Will Estes
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a kernelben.
Leírás: Az IOSerialFamily illesztőprogramban a határértéket túllépő tömbhozzáférés volt megtalálható. További határérték-ellenőrzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2013-5139 : @dent1zt
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Egy távoli támadó a készülék váratlan újraindítását tudta kiváltani.
Leírás: A készülékre érvénytelen csomagrészletet küldve egy olyan kernelállítás váltható ki, amely a készülék újraindítását okozza. A problémát a csomagrészletek további hitelesítésével küszöbölték ki.
CVE-azonosító
CVE-2013-5140 : Joonas Kuorilehto of Codenomicon, egy anonim kutató, együttműködve a következőkkel: CERT-FI, Antti Levomäki és Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A támadó a helyi hálózaton a szolgáltatások megtagadását tudta kiváltani.
Leírás: A támadó a helyi hálózaton speciális kialakítású IPv6 ICMP-csomagokat tudott küldeni, amelyek a processzort leterhelték. Ezt a problémát az ICMP-csomagoknak az ellenőrzőösszeg ellenőrzése előtti gyakorisági korlátozásával küszöbölték ki.
CVE-azonosító
CVE-2011-2391 : Marc Heuse
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A kernel veremterülete megjelenhetett a helyi felhasználónak.
Leírás: Az msgctl és segctl API-kban adat-közzétételi probléma volt. Ezt a problémát a kernel által visszaadott adatszerkezet inicializálásával oldották meg.
CVE-azonosító
CVE-2013-5142 : Kenzley Alphonse (Kenx Technology, Inc)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Jogosulatlan folyamatok hozzáfértek a kernelmemória tartalmához, ami a jogosultság kiterjesztéséhez vezetett.
Leírás: Ez az adat-közzétételi probléma a mach_port_space_info API-ban volt. Ezt a problémát a kernel által visszaadott adatszerkezet iin_collision mezőjének inicializálásával oldották meg.
CVE-azonosító
CVE-2013-3953 : Stefan Esser
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Jogosulatlan folyamatok a rendszer váratlan leállását okozhatták, illetve tetszőleges kódot hajthattak végre a kernelben.
Leírás: memóriasérülési probléma volt megtalálható a posix_spawn API argumentumkezelésében. További határérték-ellenőrzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2013-3954 : Stefan Esser
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Egy jogosulatlan folyamat módosíthatta a betöltött kernelkiterjesztések készletét.
Leírás: Ez a probléma az ismeretlen feladóktól érkező IPC-üzenetek kextd-kezelőjében volt megtalálható. Ezt a problémát további jogosultsági ellenőrzésekkel küszöbölték ki.
CVE-azonosító
CVE-2013-5145 : „Rainbow PRISM”
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Ártó szándékkal létrehozott weboldalak megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor
Leírás: A libxml motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Ezeket a hibákat a libxml 2.9.0-s verzióra való frissítésével küszöbölték ki.
CVE-azonosító
CVE-2011-3102 : Jüri Aedla
CVE-2012-0841
CVE-2012-2807 : Jüri Aedla
CVE-2012-5134 : A Google Chrome biztonsági csapata (Jüri Aedla)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Ártó szándékkal létrehozott weboldalak megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor
Leírás: A libxslt motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Ezeket a hibákat a libxslt 1.1.28-as verzióra való frissítésével küszöbölték ki.
CVE-azonosító
CVE-2012-2825 : Nicolas Gregoire
CVE-2012-2870 : Nicolas Gregoire
CVE-2012-2871 : Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2013-0879 : Atte Kettunen (OUSPG)
CVE-2013-0991 : Jay Civelli (Chromium fejlesztői közösség)
CVE-2013-0992 : A Google Chrome biztonsági csapata (Martin Barbella)
CVE-2013-0993 : A Google Chrome biztonsági csapata (Inferno)
CVE-2013-0994 : David German (Google)
CVE-2013-0995 : A Google Chrome biztonsági csapata (Inferno)
CVE-2013-0996 : A Google Chrome biztonsági csapata (Inferno)
CVE-2013-0997: Vitaliy Toropov, a HP Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2013-0998 : pa_kt a HP Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2013-0999 : pa_kt a HP Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2013-1000 : Fermin J. Serna (a Google biztonsági csapatának tagja)
CVE-2013-1001 : Ryan Humenick
CVE-2013-1002: Szergej Glazunov
CVE-2013-1003 : A Google Chrome biztonsági csapata (Inferno)
CVE-2013-1004 : A Google Chrome biztonsági csapata (Martin Barbella)
CVE-2013-1005 : A Google Chrome biztonsági csapata (Martin Barbella)
CVE-2013-1006 : A Google Chrome biztonsági csapata (Martin Barbella)
CVE-2013-1007 : A Google Chrome biztonsági csapata (Inferno)
CVE-2013-1008: Szergej Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1011
CVE-2013-1037 : A Google Chrome biztonsági csapata
CVE-2013-1038 : A Google Chrome biztonsági csapata
CVE-2013-1039 : own-hero Research, valamint iDefense VCP
CVE-2013-1040 : A Google Chrome biztonsági csapata
CVE-2013-1041 : A Google Chrome biztonsági csapata
CVE-2013-1042 : A Google Chrome biztonsági csapata
CVE-2013-1043 : A Google Chrome biztonsági csapata
CVE-2013-1044: Apple
CVE-2013-1045 : A Google Chrome biztonsági csapata
CVE-2013-1046 : A Google Chrome biztonsági csapata
CVE-2013-1047: miaubiz
CVE-2013-2842 : Cyril Cattiaux
CVE-2013-5125 : A Google Chrome biztonsági csapata
CVE-2013-5126: Apple
CVE-2013-5127 : A Google Chrome biztonsági csapata
CVE-2013-5128: Apple
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.