Az Apple TV 6.0 biztonsági tartalma

Ez a cikk az Apple TV 6.0 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Apple TV 6.0

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JBIG2 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. További határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-1025 : Felix Groebert (Google Security Team)

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a Sorenson-kódolású filmfájlok kezelésével összefüggésben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-1019 : Tom Gallagher (Microsoft) és Paul Bates (Microsoft) a HP Zero Day Initiative kezdeményezésének közreműködőiként

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.

    Lírás: A TrustWave nevű megbízható legfelső szintű hitelesítésszolgáltató kiadott, majd visszavont egy alhitelesítés-szolgáltatói tanúsítványt az egyik megbízható horgonytól. Ez az alhitelesítés-szolgáltatói tanúsítvány lehetővé tette a TLS használatával folytatott kommunikáció lehallgatását. A frissítés hozzáadja az érintett alhitelesítés-szolgáltatói tanúsítványokat az OS X nem megbízható tanúsítványainak listájához.

    CVE-azonosító

    CVE-2013-5134

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Egy támadó, akinek tetszőleges kódvégrehajtási joga van egy készüléken, az újraindítás során is képes kód végrehajtására.

    Leírás: Több puffer-túlcsordulási hiba is előfordul a dyld openSharedCacheFile() függvényében. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2013-3950 : Stefan Esser

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG2000 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. További határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-1026 : Felix Groebert (Google Security Team)

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Egy rosszindulatú helyi alkalmazás váratlan rendszerleállást tudott kiváltani.

    Leírás: Az IOCatalogue alkalmazásban címke nélküli mutatófeloldási hiba volt. A problémát további típusellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-5138 : Will Estes

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a kernelben.

    Leírás: Az IOSerialFamily illesztőprogramban a határértéket túllépő tömbhozzáférés volt megtalálható. További határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-5139 : @dent1zt

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Egy távoli támadó a készülék váratlan újraindítását tudta kiváltani.

    Leírás: A készülékre érvénytelen csomagrészletet küldve egy olyan kernelállítás váltható ki, amely a készülék újraindítását okozza. A problémát a csomagrészletek további hitelesítésével küszöbölték ki.

    CVE-azonosító

    CVE-2013-5140 : Joonas Kuorilehto of Codenomicon, egy anonim kutató, együttműködve a következőkkel: CERT-FI, Antti Levomäki és Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: A támadó a helyi hálózaton a szolgáltatások megtagadását tudta kiváltani.

    Leírás: A támadó a helyi hálózaton speciális kialakítású IPv6 ICMP-csomagokat tudott küldeni, amelyek a processzort leterhelték. Ezt a problémát az ICMP-csomagoknak az ellenőrzőösszeg ellenőrzése előtti gyakorisági korlátozásával küszöbölték ki.

    CVE-azonosító

    CVE-2011-2391 : Marc Heuse

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: A kernel veremterülete megjelenhetett a helyi felhasználónak.

    Leírás: Az msgctl és segctl API-kban adat-közzétételi probléma volt. Ezt a problémát a kernel által visszaadott adatszerkezet inicializálásával oldották meg.

    CVE-azonosító

    CVE-2013-5142 : Kenzley Alphonse (Kenx Technology, Inc)

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Jogosulatlan folyamatok hozzáfértek a kernelmemória tartalmához, ami a jogosultság kiterjesztéséhez vezetett.

    Leírás: Ez az adat-közzétételi probléma a mach_port_space_info API-ban volt. Ezt a problémát a kernel által visszaadott adatszerkezet iin_collision mezőjének inicializálásával oldották meg.

    CVE-azonosító

    CVE-2013-3953 : Stefan Esser

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Jogosulatlan folyamatok a rendszer váratlan leállását okozhatták, illetve tetszőleges kódot hajthattak végre a kernelben.

    Leírás: memóriasérülési probléma volt megtalálható a posix_spawn API argumentumkezelésében. További határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-3954 : Stefan Esser

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Egy jogosulatlan folyamat módosíthatta a betöltött kernelkiterjesztések készletét.

    Leírás: Ez a probléma az ismeretlen feladóktól érkező IPC-üzenetek kextd-kezelőjében volt megtalálható. Ezt a problémát további jogosultsági ellenőrzésekkel küszöbölték ki.

    CVE-azonosító

    CVE-2013-5145 : „Rainbow PRISM”

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Ártó szándékkal létrehozott weboldalak megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor

    Leírás: A libxml motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Ezeket a hibákat a libxml 2.9.0-s verzióra való frissítésével küszöbölték ki.

    CVE-azonosító

    CVE-2011-3102 : Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807 : Jüri Aedla

    CVE-2012-5134 : A Google Chrome biztonsági csapata (Jüri Aedla)

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Ártó szándékkal létrehozott weboldalak megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor

    Leírás: A libxslt motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Ezeket a hibákat a libxslt 1.1.28-as verzióra való frissítésével küszöbölték ki.

    CVE-azonosító

    CVE-2012-2825 : Nicolas Gregoire

    CVE-2012-2870 : Nicolas Gregoire

    CVE-2012-2871 : Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire

  • Apple TV

    A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2013-0879 : Atte Kettunen (OUSPG)

    CVE-2013-0991 : Jay Civelli (Chromium fejlesztői közösség)

    CVE-2013-0992 : A Google Chrome biztonsági csapata (Martin Barbella)

    CVE-2013-0993 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-0994 : David German (Google)

    CVE-2013-0995 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-0996 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-0997: Vitaliy Toropov, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2013-0998 : pa_kt a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2013-0999 : pa_kt a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2013-1000 : Fermin J. Serna (a Google biztonsági csapatának tagja)

    CVE-2013-1001 : Ryan Humenick

    CVE-2013-1002: Szergej Glazunov

    CVE-2013-1003 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-1004 : A Google Chrome biztonsági csapata (Martin Barbella)

    CVE-2013-1005 : A Google Chrome biztonsági csapata (Martin Barbella)

    CVE-2013-1006 : A Google Chrome biztonsági csapata (Martin Barbella)

    CVE-2013-1007 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-1008: Szergej Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1011

    CVE-2013-1037 : A Google Chrome biztonsági csapata

    CVE-2013-1038 : A Google Chrome biztonsági csapata

    CVE-2013-1039 : own-hero Research, valamint iDefense VCP

    CVE-2013-1040 : A Google Chrome biztonsági csapata

    CVE-2013-1041 : A Google Chrome biztonsági csapata

    CVE-2013-1042 : A Google Chrome biztonsági csapata

    CVE-2013-1043 : A Google Chrome biztonsági csapata

    CVE-2013-1044: Apple

    CVE-2013-1045 : A Google Chrome biztonsági csapata

    CVE-2013-1046 : A Google Chrome biztonsági csapata

    CVE-2013-1047: miaubiz

    CVE-2013-2842 : Cyril Cattiaux

    CVE-2013-5125 : A Google Chrome biztonsági csapata

    CVE-2013-5126: Apple

    CVE-2013-5127 : A Google Chrome biztonsági csapata

    CVE-2013-5128: Apple

 

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: