Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
Az Apple TV 7
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A támadók meg tudták szerezni a Wi-Fi-hálózat hitelesítési adatait.
Leírás: A támadók meg tudták szerezni a Wi-Fi hozzáférési pont adatait, a LEAP segítségével tudtak hitelesítést végezni, fel tudták törni az MS-CHAPv1 kivonatot, és a megszerzett hitelesítő adatok segítségével hitelesíteni tudták az adott hozzáférési pontot akkor is, ha az erősebb hitelesítési módszereket támogatott. A LEAP támogatásának eltávolításával hárult el a hiba.
CVE-azonosító
CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax és Wim Lamotte (Universiteit Hasselt)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A készülékhez hozzáféréssel rendelkező személy meg tudta szerezni a bizalmas felhasználói adatokat a naplókból.
Leírás: Naplózásra kerültek a felhasználó bizalmas adatai. A problémát kevesebb adat naplózásával küszöbölték ki.
CVE-azonosító
CVE-2014-4357 : Heli Myllykoski (OP-Pohjola Group)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A magas hálózati jogosultságú támadók el tudták érni, hogy a készülék naprakésznek minősítse magát akkor is, amikor nem volt az.
Leírás: Hitelesítési hiba lépett fel a frissítésellenőrzési válaszok kezelésekor. A Last-Modified válaszfejlécekből származó hamisított dátumokat jövőbeni dátumokra tudták beállítani, és az If-Modified-Since típusú ellenőrzésekre használták a későbbi frissítési kérelmekben. A problémát a Last-Modified fejléc hitelesítésével hárították el.
CVE-azonosító
CVE-2014-4383 : Raul Siles (DinoSec)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Egészszám-túlcsordulási probléma lépett fel a PDF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4377 : Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy információ-közzétételhez vezetett.
Leírás: Határértéket túllépő memóriaolvasási probléma lépett fel a PDF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4378 : Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak kiváltani.
Leírás: Címke nélküli mutatófeloldási hiba lépett fel az IOAcceleratorFamily API-argumentumok kezelésekor. Az IOAcceleratorFamily API-argumentumok további hitelesítésével küszöbölték ki a hibát.
CVE-azonosító
CVE-2014-4369 : Catherine (más néven winocm) és Cererdlong (Alibaba Mobile Security Team)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A készülék váratlanul újraindult.
Leírás: Címke nélküli mutató-feloldási hiba állt fenn az IntelAccelerator illesztőprogramban. Hatékonyabb hibakezeléssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4373 : cunzhang (Adlab of Venustech)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rosszindulatú alkalmazások olvasni tudták a kernelmutatókat, aminek következtében meg tudták kerülni az ASLR-t (Address Space Layout Randomization) a kernel esetén.
Leírás: Határérték-olvasási hiba állt fenn az egyik IOHIDFamily függvény kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4379 : Ian Beer (Google Project Zero)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a billentyű-hozzárendelések IOHIDFamily általi kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4404 : Ian Beer (Google Project Zero)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Címke nélküli mutató-feloldási hiba állt fenn a billentyű-hozzárendelések IOHIDFamily általi kezelésével összefüggésben. A problémát azzal küszöbölték ki, hogy javították az IOHIDFamily billentyű-hozzárendelések hitelesítését.
CVE-azonosító
CVE-2014-4405 : Ian Beer (Google Project Zero)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Határérték-írási hiba állt fenn az IOHIDFamily kernelbővítményben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4380 : cunzhang (Adlab of Venustech)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rosszindulatú alkalmazások nem inicializált adatokat tudtak olvasni a kernelmemóriából.
Leírás: Az IOKit függvények kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4407 : @PanguTeam
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hitelesítési hiba lépett fel az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A metaadatok hatékonyabb hitelesítésével hárították el a problémát.
CVE-azonosító
CVE-2014-4418 : Ian Beer (Google Project Zero)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hitelesítési hiba lépett fel az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A metaadatok hatékonyabb hitelesítésével hárították el a problémát.
CVE-azonosító
CVE-2014-4388 : @PanguTeam
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Egészszám-túlcsordulási probléma lépett fel az IOKit függvények kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.
CVE-azonosító
CVE-2014-4389 : Ian Beer (Google Project Zero)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését
Leírás: Több, nem inicializált memóriával kapcsolatos probléma állt fenn a hálózati statisztikai interfészben, ami a kernelmemória tartalmának közzétételéhez vezetett. A problémát a memória inicializálásának javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-4371 : Fermin J. Serna (a Google biztonsági csapatának tagja)
CVE-2014-4419 : Fermin J. Serna (a Google biztonsági csapatának tagja)
CVE-2014-4420 : Fermin J. Serna (a Google biztonsági csapatának tagja)
CVE-2014-4421 : Fermin J. Serna (a Google biztonsági csapatának tagja)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Versenyhelyzeti probléma állt fenn az IPv6 csomagok kezelésével összefüggésben. A zárolt állapot hatékonyabb ellenőrzésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2011-2391 : Marc Heuse
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben
Leírás: Kétszeres felszabadítást előidéző hiba állt fenn a Mach-portok kezelésében. A problémát a Mach-portok érvényességének javított ellenőrzésével szüntették meg.
CVE-azonosító
CVE-2014-4375
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben
Leírás: Határérték-olvasási hiba állt fenn az rt_setgate esetén. A hiba a memória tartalmának közzétételéhez vagy memóriasérüléshez vezethetett. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4408
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A kernelre vonatkozó néhány korlátozási óvintézkedést meg lehetett kerülni.
Leírás: Nem volt kriptografikus értelemben biztonságos a „korai” véletlenszám-generáló, amelyet néhány kernelmegerősítési óvintézkedéshez használnak, és az általa adott eredmények egy része a felhasználói térbe került, ami lehetőséget adott a megerősítési óvintézkedések megkerülésére. Azáltal hárították el a problémát, hogy a véletlenszám-generálót kriptografikus értelemben biztonságos algoritmusra cserélték, és 16 bájtos magot alkalmaztak.
CVE-azonosító
CVE-2014-4422 : Tarjei Mandt (Azimuth Security)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Határérték-írási hiba állt fenn a Libnotify esetén. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-4381 : Ian Beer (Google Project Zero)
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók módosítani tudtak tetszőleges fájlokhoz tartozó jogosultságokat.
Leírás: A syslogd szimbolikus hivatkozásokat követett a fájlokhoz társított jogosultságok módosításakor. A problémát a szimbolikus hivatkozások kezelésének javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-4372 : Tielei Wang és YeongJin Jang (Georgia Tech Information Security Center [GTISC])
-
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A magas hálózati jogosultságú támadók váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2013-6663: Atte Kettunen, OUSPG
CVE-2014-1384 : Apple
CVE-2014-1385 : Apple
CVE-2014-1387 : A Google Chrome biztonsági csapata
CVE-2014-1388 : Apple
CVE-2014-1389 : Apple
CVE-2014-4410: Eric Seidel, Google
CVE-2014-4411: A Google Chrome biztonsági csapata
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple