Az Apple TV 7.2 biztonsági tartalma
Ez a dokumentum az Apple TV 7.2 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
Apple TV 7.2
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Érvényesítési hiba állt fenn az audio-illesztőprogramok által használt IOKit-objektumokban. A metaadatok hatékonyabb hitelesítésével hárították el a problémát.
CVE-azonosító
CVE-2015-1086
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Az NSXMLParser elemzőt használó alkalmazásokat fel lehetett használni az információk közzétételére.
Leírás: Egy XML entitásfeldolgozási probléma lépett fel az XML NSXMLParser általi kezelésekor. A problémát azzal küszöbölték ki, hogy letiltották a külső entitások betöltését az eredeti elemek esetén.
CVE-azonosító
CVE-2015-1092 : Ikuya Fukumoto
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.
Leírás: Egy hiba állt fenn az IOAcceleratorFamily esetén, ami a kernelmemória tartalmának közzétételéhez vezetett. A felesleges kód eltávolításával hárították el a problémát.
CVE-azonosító
CVE-2015-1094 : Cererdlong (Alibaba Mobile Security Team)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Az ártó szándékú HID-eszközök tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Memóriasérülési hiba állt fenn az IOHIDFamily API-ban. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-1095 : Andrew Church
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.
Leírás: Egy hiba állt fenn az IOHIDFamily esetén, ami a kernelmemória tartalmának közzétételéhez vezetett. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-1096 : Ilja van Sprundel (IOActive)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.
Leírás: Egy hiba állt fenn a MobileFrameBuffer esetén, ami a kernelmemória tartalmának közzétételéhez vezetett. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-1097 : Barak Gabai (IBM X-Force Application Security Research Team)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást tudtak előidézni.
Leírás: Versenyhelyzeti probléma lépett fel a setreuid rendszerhívás során. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-1099 : Mark Mentovai (Google Inc.)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A helyi alkalmazások, amelyeknek alacsonyabb jogosultságokkal kellett volna működniük, magasabb jogosultságokat tudtak szerezni egy sérült szolgáltatás segítségével.
Leírás: A setreuid és a setregid rendszerhívás nem törölte véglegesen a jogosultságokat. A jogosultságok megfelelő törlésével hárították el a problémát.
CVE-azonosító
CVE-2015-1117 : Mark Mentovai (Google Inc.)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rosszindulatú alkalmazások váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: Határértéket túllépő memóriaelérési probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-1100 : Maxime Villard (m00nbsd)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-1101 : lokihardt@ASRT, a HP Zero Day Initiative kezdeményezésének közreműködőjeként
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Az állapot inkonzisztenssé vált a TCP-fejlécek feldolgozásakor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-1102 : Andrey Khudyakov és Maxim Zhuravlev (Kaspersky Lab)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A magas hálózati jogosultságú támadók át tudták irányítani a felhasználói forgalmat tetszőleges hosztokhoz.
Leírás: Az iOS alapértelmezés szerint engedélyezte az ICMP-átirányításokat. Az ICMP-átirányítások letiltásával hárították el a problémát.
CVE-azonosító
CVE-2015-1103 : Zimperium Mobile Security Labs
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A távoli támadók meg tudták kerülni a hálózati szűrőket.
Leírás: A rendszer néhány esetben a távoli hálózati interfészről származó IPv6-csomagokat helyi csomagokként kezelte. A csomagok elutasításával hárították el a problémát.
CVE-azonosító
CVE-2015-1104 : Stephen Roettger (Google Security Team)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Az állapot inkonzisztenssé vált a TCP sávon kívüli adatainak kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-1105 : Kenton Varda (Sandstorm.io)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott konfigurációs profilok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Memóriasérülési hiba lépett fel a konfigurációs profilok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-1118 : Zhaofeng Chen, Hui Xue, Yulong Zhang és Tao Wei (FireEye, Inc.)
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy podcasteszközök letöltésekor a rendszer felesleges információkat küldött a külső kiszolgálóknak.
Leírás: Olyan podcast eszközeinek letöltésekor, amelyre a felhasználó fel volt iratkozva, a rendszer egyedi azonosítókat küldött a külső kiszolgálóknak. Az azonosítók eltávolításával hárították el a problémát.
CVE-azonosító
CVE-2015-1110 : Alex Selivanov
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Külső gyártók alkalmazásai hozzá tudtak férni a hardverazonosítókhoz.
Leírás: Adat-közzétételi probléma állt fenn a külső gyártó Sandbox alkalmazása esetén. A problémát a sandbox-profil javításával küszöbölték ki.
CVE-azonosító
CVE-2015-1114
Apple TV
A következő készülékekhez érhető el: 3. generációs és újabb Apple TV.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-1068 : Apple
CVE-2015-1069 : lokihardt@ASRT, a HP Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2015-1070 : Apple
CVE-2015-1071 : Apple
CVE-2015-1072
CVE-2015-1073 : Apple
CVE-2015-1074 : Apple
CVE-2015-1076
CVE-2015-1077 : Apple
CVE-2015-1078 : Apple
CVE-2015-1079 : Apple
CVE-2015-1080 : Apple
CVE-2015-1081 : Apple
CVE-2015-1082 : Apple
CVE-2015-1083 : Apple
CVE-2015-1119 : Hodován Renáta (Szegedi Tudományegyetem/Samsung Electronics)
CVE-2015-1120 : Apple
CVE-2015-1121 : Apple
CVE-2015-1122 : Apple
CVE-2015-1123 : Randy Luecke és Anoop Menon (Google Inc.)
CVE-2015-1124 : Apple
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.