Mengenai konten keamanan Apple TV 6.1.1

Dokumen ini menjelaskan konten keamanan Apple TV 6.1.1.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple."

Apple TV 6.1.1

  • Apple TV

    Tersedia untuk: Apple TV generasi ke-2 dan versi lebih baru

    Dampak: Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat memperoleh informasi pengesahan situs web

    Deskripsi: Judul Set-Cookie HTTP akan diproses meskipun koneksi ditutup sebelum baris judul lengkap. Penyerang dapat menghilangkan pengaturan keamanan dari cookie dengan menutup paksa koneksi sebelum pengaturan keamanan dikirim, lalu memperoleh nilai cookie yang tidak dilindungi. Masalah ini telah diatasi dengan mengabaikan baris judul HTTP yang tidak lengkap.

    CVE-ID

    CVE-2014-1296 : Antoine Delignat-Lavaud dari Prosecco di Inria Paris

  • Apple TV

    Tersedia untuk: Apple TV generasi ke-2 dan versi lebih baru

    Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk memintas pengacakan tata letak spasi alamat kernel

    Deskripsi: Sekumpulan penunjuk kernel yang disimpan di objek IOKit dapat dipulihkan dari userland. Masalah ini telah diatasi dengan menghilangkan penunjuk dari objek tersebut.

    CVE-ID

    CVE-2014-1320 : Ian Beer dari Google Project Zero bekerja sama dengan Zero Day Initiative dari HP

  • Apple TV

    Tersedia untuk: Apple TV generasi ke-2 dan versi lebih baru

    Dampak: Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat menangkap data atau mengubah operasi yang dilakukan di sesi yang dilindungi oleh SSL

    Pada penyerangan 'triple handshake', penyerang dapat membuat dua koneksi yang memiliki kunci dan handshake enkripsi yang sama, memasukkan data penyerang pada satu koneksi, dan menegosiasikan ulang sehingga koneksi tersebut dapat diteruskan ke satu sama lain. Guna mencegah penyerangan dengan skenario ini, Transportasi Aman diubah sehingga, secara default, negosiasi ulang harus menyediakan sertifikat server yang sama dengan yang disediakan pada koneksi awal.

    CVE-ID

    CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan dan Alfredo Pironti dari Prosecco di Inria Paris

  • Apple TV

    Tersedia untuk: Apple TV generasi ke-2 dan versi lebih baru

    Dampak: Penyerang yang berada di posisi memiliki akses istimewa ke jaringan dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2013-2871 : miaubiz

    CVE-2014-1298 : Tim Keamanan Google Chrome

    CVE-2014-1299 : Tim Keamanan Google Chrome, Apple, Renata Hodovan dari University of Szeged / Samsung Electronics

    CVE-2014-1300 : Ian Beer dari Google Project Zero bekerja sama dengan Zero Day Initiative dari HP

    CVE-2014-1302 : Tim Keamanan Google Chrome, Apple

    CVE-2014-1303 : KeenTeam bekerja sama dengan Zero Day Initiative dari HP

    CVE-2014-1304 : Apple

    CVE-2014-1305 : Apple

    CVE-2014-1307 : Tim Keamanan Google Chrome

    CVE-2014-1308 : Tim Keamanan Google Chrome

    CVE-2014-1309 : cloudfuzzer

    CVE-2014-1310 : Tim Keamanan Google Chrome

    CVE-2014-1311 : Tim Keamanan Google Chrome

    CVE-2014-1312 : Tim Keamanan Google Chrome

    CVE-2014-1313 : Tim Keamanan Google Chrome

    CVE-2014-1713 : VUPEN bekerja sama dengan Zero Day Initiative dari HP

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: