Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
Az Apple TV 7
- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A támadók meg tudták szerezni a Wi-Fi-hálózat hitelesítési adatait.


	Leírás: A támadók meg tudták szerezni a Wi-Fi hozzáférési pont adatait, a LEAP segítségével tudtak hitelesítést végezni, fel tudták törni az MS-CHAPv1 kivonatot, és a megszerzett hitelesítő adatok segítségével hitelesíteni tudták az adott hozzáférési pontot akkor is, ha az erősebb hitelesítési módszereket támogatott. A LEAP támogatásának eltávolításával hárult el a hiba.


	CVE-azonosító


	CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax és Wim Lamotte (Universiteit Hasselt)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A készülékhez hozzáféréssel rendelkező személy meg tudta szerezni a bizalmas felhasználói adatokat a naplókból.


	Leírás: Naplózásra kerültek a felhasználó bizalmas adatai. A problémát kevesebb adat naplózásával küszöbölték ki.


	CVE-azonosító


	CVE-2014-4357 : Heli Myllykoski (OP-Pohjola Group)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A magas hálózati jogosultságú támadók el tudták érni, hogy a készülék naprakésznek minősítse magát akkor is, amikor nem volt az.


	Leírás: Hitelesítési hiba lépett fel a frissítésellenőrzési válaszok kezelésekor. A Last-Modified válaszfejlécekből származó hamisított dátumokat jövőbeni dátumokra tudták beállítani, és az If-Modified-Since típusú ellenőrzésekre használták a későbbi frissítési kérelmekben. A problémát a Last-Modified fejléc hitelesítésével hárították el.


	CVE-azonosító


	CVE-2014-4383 : Raul Siles (DinoSec)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.


	Leírás: Egészszám-túlcsordulási probléma lépett fel a PDF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4377 : Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy információ-közzétételhez vezetett.


	Leírás: Határértéket túllépő memóriaolvasási probléma lépett fel a PDF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4378 : Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak kiváltani.


	Leírás: Címke nélküli mutatófeloldási hiba lépett fel az IOAcceleratorFamily API-argumentumok kezelésekor. Az IOAcceleratorFamily API-argumentumok további hitelesítésével küszöbölték ki a hibát.


	CVE-azonosító


	CVE-2014-4369 : Catherine (más néven winocm) és Cererdlong (Alibaba Mobile Security Team)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A készülék váratlanul újraindult.


	Leírás: Címke nélküli mutató-feloldási hiba állt fenn az IntelAccelerator illesztőprogramban. Hatékonyabb hibakezeléssel küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4373 : cunzhang (Adlab of Venustech)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A rosszindulatú alkalmazások olvasni tudták a kernelmutatókat, aminek következtében meg tudták kerülni az ASLR-t (Address Space Layout Randomization) a kernel esetén.


	Leírás: Határérték-olvasási hiba állt fenn az egyik IOHIDFamily függvény kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4379 : Ian Beer (Google Project Zero)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.


	Leírás: Puffertúlcsordulást okozó probléma lépett fel a billentyű-hozzárendelések IOHIDFamily általi kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4404 : Ian Beer (Google Project Zero)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.


	Leírás: Címke nélküli mutató-feloldási hiba állt fenn a billentyű-hozzárendelések IOHIDFamily általi kezelésével összefüggésben. A problémát azzal küszöbölték ki, hogy javították az IOHIDFamily billentyű-hozzárendelések hitelesítését.


	CVE-azonosító


	CVE-2014-4405 : Ian Beer (Google Project Zero)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.


	Leírás: Határérték-írási hiba állt fenn az IOHIDFamily kernelbővítményben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4380 : cunzhang (Adlab of Venustech)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A rosszindulatú alkalmazások nem inicializált adatokat tudtak olvasni a kernelmemóriából.


	Leírás: Az IOKit függvények kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4407 : @PanguTeam

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.


	Leírás: Hitelesítési hiba lépett fel az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A metaadatok hatékonyabb hitelesítésével hárították el a problémát.


	CVE-azonosító


	CVE-2014-4418 : Ian Beer (Google Project Zero)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.


	Leírás: Hitelesítési hiba lépett fel az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A metaadatok hatékonyabb hitelesítésével hárították el a problémát.


	CVE-azonosító


	CVE-2014-4388 : @PanguTeam

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.


	Leírás: Egészszám-túlcsordulási probléma lépett fel az IOKit függvények kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.


	CVE-azonosító


	CVE-2014-4389 : Ian Beer (Google Project Zero)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését


	Leírás: Több, nem inicializált memóriával kapcsolatos probléma állt fenn a hálózati statisztikai interfészben, ami a kernelmemória tartalmának közzétételéhez vezetett. A problémát a memória inicializálásának javítása révén küszöbölték ki.


	CVE-azonosító


	CVE-2014-4371 : Fermin J. Serna (a Google biztonsági csapatának tagja)


	CVE-2014-4419 : Fermin J. Serna (a Google biztonsági csapatának tagja)


	CVE-2014-4420 : Fermin J. Serna (a Google biztonsági csapatának tagja)


	CVE-2014-4421 : Fermin J. Serna (a Google biztonsági csapatának tagja)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.


	Leírás: Versenyhelyzeti probléma állt fenn az IPv6 csomagok kezelésével összefüggésben. A zárolt állapot hatékonyabb ellenőrzésével küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2011-2391 : Marc Heuse

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben


	Leírás: Kétszeres felszabadítást előidéző hiba állt fenn a Mach-portok kezelésében. A problémát a Mach-portok érvényességének javított ellenőrzésével szüntették meg.


	CVE-azonosító


	CVE-2014-4375

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben


	Leírás: Határérték-olvasási hiba állt fenn az rt_setgate esetén. A hiba a memória tartalmának közzétételéhez vagy memóriasérüléshez vezethetett. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4408

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A kernelre vonatkozó néhány korlátozási óvintézkedést meg lehetett kerülni.


	Leírás: Nem volt kriptografikus értelemben biztonságos a „korai” véletlenszám-generáló, amelyet néhány kernelmegerősítési óvintézkedéshez használnak, és az általa adott eredmények egy része a felhasználói térbe került, ami lehetőséget adott a megerősítési óvintézkedések megkerülésére. Azáltal hárították el a problémát, hogy a véletlenszám-generálót kriptografikus értelemben biztonságos algoritmusra cserélték, és 16 bájtos magot alkalmaztak.


	CVE-azonosító


	CVE-2014-4422 : Tarjei Mandt (Azimuth Security)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.


	Leírás: Határérték-írási hiba állt fenn a Libnotify esetén. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.


	CVE-azonosító


	CVE-2014-4381 : Ian Beer (Google Project Zero)

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A helyi felhasználók módosítani tudtak tetszőleges fájlokhoz tartozó jogosultságokat.


	Leírás: A syslogd szimbolikus hivatkozásokat követett a fájlokhoz társított jogosultságok módosításakor. A problémát a szimbolikus hivatkozások kezelésének javítása révén küszöbölték ki.


	CVE-azonosító


	CVE-2014-4372 : Tielei Wang és YeongJin Jang (Georgia Tech Information Security Center [GTISC])

	 

- 
	
- 
	
Apple TV


	A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.


	Érintett terület: A magas hálózati jogosultságú támadók váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást tudtak előidézni.


	Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.


	CVE-azonosító


	CVE-2013-6663: Atte Kettunen, OUSPG


	CVE-2014-1384 : Apple


	CVE-2014-1385 : Apple


	CVE-2014-1387 : A Google Chrome biztonsági csapata


	CVE-2014-1388 : Apple


	CVE-2014-1389 : Apple


	CVE-2014-4410: Eric Seidel, Google


	CVE-2014-4411: A Google Chrome biztonsági csapata


	CVE-2014-4412: Apple


	CVE-2014-4413: Apple


	CVE-2014-4414: Apple


	CVE-2014-4415: Apple