Mengenai konten keamanan Apple TV 7.2.1

Dokumen ini menjelaskan konten keamanan Apple TV 7.2.1.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari lebih lanjut tentang Keamanan Produk Apple, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari tentang pembaruan keamanan lainnya, baca pembaruan keamanan Apple.

Apple TV 7.2.1

  • bootp

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Jaringan Wi-Fi berbahaya mungkin dapat menentukan jaringan yang sebelumnya diakses oleh suatu perangkat

    Deskripsi: Setelah terhubung ke jaringan Wi-Fi, iOS mungkin dapat menyiarkan alamat MAC dari jaringan yang sebelumnya diakses melalui protokol DNAv4. Masalah ini telah diatasi dengan menonaktifkan DNAv4 pada jaringan Wi-Fi yang tidak terenkripsi.

    CVE-ID

    CVE-2015-3778 : Piers O'Hanlon dari Oxford Internet Institute, University of Oxford (pada proyek EPSRC Being There)

  • CloudKit

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Aplikasi yang berbahaya dapat mengakses catatan pengguna iCloud dari pengguna yang masuk sebelumnya.

    Penjelasan: Inkonsistensi status terjadi di CloudKit saat pengguna keluar. Masalah ini telah diatasi dengan penanganan status yang ditingkatkan.

    CVE-ID

    CVE-2015-3782 : Deepkanwal Plaha dari University of Toronto

  • CFPreferences

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Aplikasi yang berbahaya dapat membaca preferensi terkelola dari aplikasi lain.

    Penjelasan: Masalah muncul di sandbox aplikasi pihak ketiga. Masalah ini telah diatasi dengan meningkatkan profil sandbox pihak ketiga.

    CVE-ID

    CVE-2015-3793 : Andreas Weinlein dari Tim Appthority Mobility Threat

  • Tanda Tangan Kode

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Aplikasi yang berbahaya dapat menjalankan kode yang tidak bertanda

    Penjelasan: Terjadi masalah yang mengizinkan kode tidak bertanda untuk ditambahkan ke kode bertanda dalam file yang khusus dibuat dan dapat dijalankan. Masalah ini telah diatasi melalui peningkatan validasi tanda tangan kode.

    CVE-ID

    CVE-2015-3806 : Tim TaiG Jailbreak

  • Tanda Tangan Kode

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: File yang khusus dibuat dan dapat dijalankan dapat mengizinkan kode tidak bertanda yang berbahaya untuk dijalankan.

    Penjelasan: Masalah muncul dalam cara evaluasi file multi-arsitektur yang dapat dijalankan yang dapat mengizinkan kode tidak bertanda untuk dijalankan. Masalah ini telah diatasi dengan peningkatan validasi file yang dapat dijalankan.

    CVE-ID

    CVE-2015-3803 : Tim TaiG Jailbreak

  • Tanda Tangan Kode

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Pengguna lokal mungkin dapat menjalankan kode yang tidak ditandatangani.

    Penjelasan: Masalah validasi muncul dalam penanganan file Mach-O. Masalah ini telah diatasi dengan menambahkan pemeriksaan tambahan.

    CVE-ID

    CVE-2015-3802 : Tim TaiG Jailbreak

    CVE-2015-3805 : Tim TaiG Jailbreak

  • Pemutaran CoreMedia

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah kerusakan memori muncul di CoreMedia Playback. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5777 : Apple

    CVE-2015-5778 : Apple

  • CoreText

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang terjadi saat memproses file fon. Masalah ini telah diatasi melalui peningkatan validasi input.

    CVE-ID

    CVE-2015-5755 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-5761 : John Villamil (@day6reak), Tim Yahoo Pentest

  • DiskImages

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Memproses file DMG perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer dengan hak istimewa sistem

    Penjelasan: Masalah kerusakan memori muncul saat menguraikan gambar DMG yang cacat. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3800 : Frank Graziano dari Tim Yahoo Pentest

  • FontParser

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang terjadi saat memproses file fon. Masalah ini telah diatasi melalui peningkatan validasi input.

    CVE-ID

    CVE-2015-3804 : Apple

    CVE-2015-5756 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-5775 : Apple

  • ImageIO

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Memproses file .tiff perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat memproses file .tiff. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2015-5758 : Apple

  • ImageIO

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Menguraikan konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

    Penjelasan: Masalah akses memori yang tidak diinisialisasi muncul saat ImageIO menangani gambar PNG. Masalah ini telah diatasi melalui peningkatan inisialisasi memori dan validasi tambahan gambar PNG.

    CVE-ID

    CVE-2015-5781 : Michal Zalewski

  • ImageIO

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Menguraikan konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

    Penjelasan: Masalah akses memori yang tidak diinisialisasi muncul saat ImageIO menangani gambar TIFF. Masalah ini telah diatasi melalui peningkatan inisialisasi memori dan validasi tambahan gambar TIFF.

    CVE-ID

    CVE-2015-5782 : Michal Zalewski

  • IOKit

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Menguraikan plist perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer dengan hak istimewa sistem

    Penjelasan: Masalah kerusakan memori muncul saat memproses plist yang cacat. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3776 : Teddy Reed dari Facebook Security, Patrick Stein (@jollyjinx) dari Jinx Germany

  • IOHIDFamily

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kelebihan buffer terjadi di IOHIDFamily. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5774 : Tim TaiG Jailbreak

  • Kernel

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

    Penjelasan: Masalah muncul di antarmuka mach_port_space_info, yang dapat mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi dengan menonaktifkan antarmuka mach_port_space_info.

    CVE-ID

    CVE-2015-3766 : Cererdlong dari Tim Keamanan Alibaba Mobile, @PanguTeam

  • Kernel

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kelebihan bilangan muncul saat menangani fungsi IOKit. Masalah ini telah diatasi dengan peningkatan validasi argumen API IOKit.

    CVE-ID

    CVE-2015-3768 : Ilja van Sprundel

  • Libc

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Memproses ekspresi biasa perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul di perpustakaan TRE. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3796 : Ian Beer dari Google Project Zero

    CVE-2015-3797 : Ian Beer dari Google Project Zero

    CVE-2015-3798 : Ian Beer dari Google Project Zero

  • Libinfo

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Penyerang dari jarak jauh dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani soket AF_INET6. Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5776 : Apple

  • libpthread

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori muncul saat menangani syscall. Masalah ini telah diatasi dengan pemeriksaan kondisi kunci yang ditingkatkan.

    CVE-ID

    CVE-2015-5757 : Lufeng Li dari Qihoo 360

  • libxml2

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Menguraikan dokumen XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

    Deskripsi: Masalah kerusakan memori muncul saat menguraikan file XML. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3807 : Michal Zalewski

  • libxml2

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Beberapa kerentanan muncul di versi libxml2 sebelum versi 2.9.2, yang paling serius dapat memungkinkan penyerang jarak jauh menyebabkan penolakan layanan

    Deskripsi: Beberapa kerentanan muncul di versi libxml2 sebelum versi 2.9.2. Masalah ini telah diatasi dengan memperbarui libxml2 ke versi 2.9.2.

    CVE-ID

    CVE-2012-6685 : Felix Groebert dari Google

    CVE-2014-0191 : Felix Groebert dari Google

    CVE-2014-3660 : Felix Groebert dari Google

  • libxpc

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori muncul saat menangani pesan XPC yang cacat. Masalah ini telah diperbaiki melalui pemeriksaan batas yang ditingkatkan.

    CVE-ID

    CVE-2015-3795 : Mathew Rowley

  • libxslt

    Tersedia untuk: Apple TV (generasi ke-4)

    Dampak: Memproses XML perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah ketidakjelasan jenis muncul di libxslt. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-7995 : puzzor

  • Kerangka Lokasi

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Pengguna lokal dapat memodifikasi bagian sistem file yang dilindungi

    Deskripsi: Masalah tautan simbolik telah diatasi melalui validasi jalur yang ditingkatkan.

    CVE-ID

    CVE-2015-3759 : Cererdlong dari Tim Keamanan Alibaba Mobile

  • Penampil Office

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Menguraikan XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

    Penjelasan: Masalah referensi entitas eksternal muncul dalam penguraian XML. Masalah ini telah diatasi melalui penguraian yang ditingkatkan.

    CVE-ID

    CVE-2015-3784 : Bruno Morisson dari INTEGRITY S.A.

  • QL Office

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Menguraikan dokumen kantor perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menguraikan dokumen kantor. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5773 : Apple

  • Sandbox_profiles

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: App yang berbahaya dapat membaca preferensi terkelola dari app lain

    Penjelasan: Masalah muncul di sandbox aplikasi pihak ketiga. Masalah ini telah diatasi dengan meningkatkan profil sandbox pihak ketiga.

    CVE-ID

    CVE-2015-5749 : Andreas Weinlein dari Tim Appthority Mobility Threat

  • WebKit

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3730 : Apple

    CVE-2015-3731 : Apple

    CVE-2015-3732 : Apple

    CVE-2015-3733 : Apple

    CVE-2015-3734 : Apple

    CVE-2015-3735 : Apple

    CVE-2015-3736 : Apple

    CVE-2015-3737 : Apple

    CVE-2015-3738 : Apple

    CVE-2015-3739 : Apple

    CVE-2015-3740 : Apple

    CVE-2015-3741 : Apple

    CVE-2015-3742 : Apple

    CVE-2015-3743 : Apple

    CVE-2015-3744 : Apple

    CVE-2015-3745 : Apple

    CVE-2015-3746 : Apple

    CVE-2015-3747 : Apple

    CVE-2015-3748 : Apple

    CVE-2015-3749 : Apple

  • WebKit

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Konten web perusak yang berbahaya dapat menarik data gambar lintas sumber

    Deskripsi: Gambar yang diambil melalui URL yang dialihkan ke sumber daya data:image mungkin merupakan lintas sumber yang ditarik. Masalah ini telah diatasi melalui pelacakan noda kanvas yang ditingkatkan.

    CVE-ID

    CVE-2015-3753 : Antonio Sanso dan Damien Antipa dari Adobe

  • WebKit

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Konten web perusak yang berbahaya dapat memicu permintaan teks biasa ke asal di bawah Keamanan Transportasi Ketat HTTP

    Deskripsi: Masalah ini muncul saat permintaan laporan Kebijakan Keamanan Konten tidak mematuhi HTTP Strict Transport Security (HSTS). Masalah ini telah diatasi dengan menerapkan HSTS ke CSP.

    CVE-ID

    CVE-2015-3750 : Muneaki Nishimura (nishimunea)

  • WebKit

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Permintaan laporan Kebijakan Keamanan Konten dapat membocorkan cookie

    Deskripsi: Terdapat dua masalah pada cara cookie ditambahkan ke permintaan laporan Kebijakan Keamanan Konten. Cookie dikirim dalam permintaan laporan lintas sumber yang melanggar standar. Cookie yang diatur saat penelusuran biasa dikirim dalam penelusuran pribadi. Masalah ini telah diatasi melalui penanganan cookie yang ditingkatkan.

    CVE-ID

    CVE-2015-3752 : Muneaki Nishimura (nishimunea)

  • WebKit

    Tersedia untuk: Apple TV (Generasi ke-3)

    Dampak: Pemuatan gambar dapat melanggar petunjuk Kebijakan Kemanan Konten situs web

    Penjelasan: Masalah muncul saat memproses konten web dengan kontrol video akan memuat gambar yang digabung di elemen objek yang melanggar petunjuk Kebijakan Keamanan Konten situs web. Masalah ini telah diatasi melalui pelaksanaan Kebijakan Keamanan Konten yang ditingkatkan.

    CVE-ID

    CVE-2015-3751 : Muneaki Nishimura (nishimunea)

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: