Informazioni sui contenuti di sicurezza di Apple TV 6.1

Questo documento descrive i contenuti di sicurezza di Apple TV 6.1.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta "Aggiornamenti di sicurezza Apple".

Apple TV 6.1

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: un malintenzionato con accesso a un'Apple TV potrebbe accedere alle informazioni riservate dell'utente tramite i registri

    Descrizione: viene registrato un accesso alle informazioni riservate dell'utente. Questo problema è stato risolto riducendo il numero di informazioni registrate.

    CVE-ID

    CVE-2014-1279: David Schuetz collaboratore di Intrepidus Group

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: le date di scadenza del profilo non vengono rispettate

    Descrizione: non vengono valutate correttamente le date di scadenza dei profili di configurazione mobili. Il problema è stato risolto mediante una gestione migliorata dei profili di configurazione.

    CVE-ID

    CVE-2014-1267

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: un'applicazione pericolosa può causare una chiusura improvvisa del sistema

    Descrizione: si verifica un problema relativo al raggiungimento dell'asserzione nella gestione delle chiamate API con IOKit da parte di CoreCapture. Il problema è stato risolto tramite una convalida aggiuntiva dell'input da IOKit.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: un utente locale potrebbe riuscire a modificare i permessi relativi ai file arbitrari

    Descrizione: CrashHouseKeeping segue i link simbolici durante la modifica dei permessi relativi ai file. Questo problema è stato risolto non seguendo i link simbolici durante la modifica dei permessi relativi ai file.

    CVE-ID

    CVE-2014-1272: evad3rs

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: i requisiti di firma del codice potrebbero essere ignorati

    Descrizione: le istruzioni di trasferimento del testo nelle librerie dinamiche possono essere caricate da dyld senza una convalida della firma del codice. Questo problema è stato risolto ignorando le istruzioni di trasferimento del testo.

    CVE-ID

    CVE-2014-1273: evad3rs

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: la visualizzazione di un file PDF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini JPEG2000 nei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1275: Felix Groebert del Google Security Team

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: la visualizzazione di un file TIFF pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF da parte della libreria libtiff. Questo problema è stato risolto attraverso un'ulteriore convalida delle immagini TIFF.

    CVE-ID

    CVE-2012-2088

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: la visualizzazione di un file JPEG pericoloso potrebbe comportare la divulgazione di contenuti presenti in memoria

    Descrizione: si verifica un problema relativo all'accesso alla memoria non inizializzata nella gestione dei marcatori JPEG da parte di libjpeg, comportando la divulgazione di contenuti presenti in memoria. Questo problema è stato risolto attraverso un'ulteriore convalida dei file JPEG.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel

    Descrizione: si verifica un problema relativo all'accesso alla memoria fuori dai limiti nella funzione ptmx_get_ioctl dell'ARM. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: un profilo di configurazione potrebbe essere nascosto all'utente

    Descrizione: un profilo di configurazione con un nome lungo può essere caricato sul dispositivo senza che però venga visualizzato nell'interfaccia utente del profilo. Questo problema è stato risolto mediante una migliore gestione dei nomi di profilo.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani di Skycure

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: un utente con accesso fisico al dispositivo potrebbe riuscire a causare l'esecuzione di codice arbitrario in modalità kernel

    Descrizione: si verifica un problema relativo al danneggiamento della memoria nella gestione dei messaggi USB. Questo problema è stato risolto attraverso un'ulteriore convalida dei messaggi USB.

    CVE-ID

    CVE-2014-1287: Andy Davis di NCC Group

  • WebKit

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: vengono rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2013-2909: Atte Kettunen di OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Security Team

    CVE-2013-5196: Google Chrome Security Team

    CVE-2013-5197: Google Chrome Security Team

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome Security Team

    CVE-2013-5228: Keen Team (@K33nTeam) collaboratore della Zero Day Initiative di HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) collaboratore della Zero Day Initiative di HP, Google Chrome Security Team

    CVE-2014-1291: Google Chrome Security Team

    CVE-2014-1292: Google Chrome Security Team

    CVE-2014-1293: Google Chrome Security Team

    CVE-2014-1294: Google Chrome Security Team

  • Apple TV

    Disponibile per: Apple TV (2a generazione e versioni più recenti)

    Impatto: la riproduzione di un video pericoloso potrebbe causare la mancata risposta del dispositivo

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione di file codificati MPEG-4. Questo problema è stato risolto attraverso una migliore gestione della memoria.

    CVE-ID

    CVE-2014-1280: rg0rd

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: