Az Apple TV 6.2 biztonsági tartalma
Ez a dokumentum az Apple TV 6.2 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
Az Apple TV 6.2
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Egy alkalmazás a készülék váratlan újraindulását tudta előidézni.
Leírás: Címke nélküli mutatófeloldási hiba lépett fel az IOKit API-argumentumok kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.
CVE-azonosító
CVE-2014-1355: cunzhang (Adlab of Venustech)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Puffertúlcsordulást okozó probléma lépett fel az ICP-üzenetek launchd általi kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1356: Ian Beer (Google Project Zero)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a naplóüzenetek launchd általi kezelésével összefüggésben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1357: Ian Beer (Google Project Zero)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Egészszám-túlcsordulást okozó probléma volt jelen a launchd keretrendszerben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1358: Ian Beer (Google Project Zero)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Egészszám-alulcsordulást okozó probléma volt jelen a launchd keretrendszerben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1359: Ian Beer (Google Project Zero)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Kétbájtnyi memória felfedhető volt a távoli támadók által.
Leírás: A DTLS-üzenetek kezelésekor nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn a TLS-kapcsolatok során. A hibát azáltal küszöbölték ki, hogy csak a DTLS-üzeneteket tették elfogadhatóvá a DTLS-kapcsolatokban.
CVE-azonosító
CVE-2014-1361: Thijs Alkemade (The Adium Project)
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: A Google Chrome biztonsági csapata, Apple
CVE-2014-1329: A Google Chrome biztonsági csapata
CVE-2014-1330: A Google Chrome biztonsági csapata
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: A Google Chrome biztonsági csapata
CVE-2014-1334: Apple
CVE-2014-1335: A Google Chrome biztonsági csapata
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: A Google Chrome biztonsági csapata
CVE-2014-1339: Atte Kettunen (OUSPG)
CVE-2014-1341: A Google Chrome biztonsági csapata
CVE-2014-1342: Apple
CVE-2014-1343: A Google Chrome biztonsági csapata
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, a Google Chrome biztonsági csapata
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Wushi (Keen Team; a Keen Cloud Tech kutatócsapata)
CVE-2014-1382: Hodován Renáta (Szegedi Tudományegyetem/Samsung Electronics)
CVE-2014-1731: A Blink fejlesztői közösség anonim tagja
Apple TV
A következő készülékekhez érhető el: 2. generációs és újabb Apple TV.
Érintett terület: Az iTunes Store-tranzakciók hiányos hitelesítéssel is végrehajthatók voltak.
Leírás: A bejelentkezett felhasználó végre tudott hajtani iTunes Store-tranzakciókat anélkül, hogy érvényes jelszót adott volna meg az erre vonatkozó felszólítást követően. A problémát azzal küszöbölték ki, hogy a vásárlás során szigorúbb hitelesítést vezettek be.
CVE-azonosító
CVE-2014-1383
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.