Informazioni sui contenuti di sicurezza di Apple TV 6.1.1

Questo documento descrive i contenuti di sicurezza di Apple TV 6.1.1.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta "Aggiornamenti di sicurezza Apple".

Apple TV 6.1.1

  • Apple TV

    Disponibile per: Apple TV (2a generazione) e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe acquisire le credenziali del sito web

    Descrizione: le intestazioni HTTP Set-Cookie vengono elaborate anche se la connessione viene chiusa prima del completamento della riga dell'intestazione. Un malintenzionato può rimuovere le impostazioni di sicurezza dal cookie forzando la chiusura della connessione prima dell'invio delle impostazioni di sicurezza e acquisire quindi il valore del cookie senza protezione. Il problema è stato risolto ignorando le righe delle intestazioni HTTP non complete.

    CVE-ID

    CVE-2014-1296: Antoine Delignat-Lavaud di Prosecco presso Inria Paris

  • Apple TV

    Disponibile per: Apple TV (2a generazione) e versioni più recenti

    Impatto: un utente collegato in locale può leggere i puntatori del kernel, che possono essere usati per ignorare la funzione Address Space Layout Randomization (ASLR)

    Descrizione: è possibile recuperare dallo userland un set di puntatori del kernel archiviati in un oggetto IOKit. Il problema è stato risolto attraverso la rimozione dei puntatori dall'oggetto.

    CVE-ID

    CVE-2014-1320: Ian Beer di Google Project Zero collaboratore della Zero Day Initiative di HP

  • Apple TV

    Disponibile per: Apple TV (2a generazione) e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe registrare dati o modificare le operazioni eseguite nelle sessioni protette da SSL

    Descrizione: durante un attacco di triplo handshake è possibile per un malintenzionato stabilire due connessioni con lo stesso handshake e le stesse chiavi di crittografia, inserire i propri dati in una connessione ed effettuare una rinegoziazione per eseguire l'inoltro delle due connessioni. Per evitare attacchi di questo tipo, sono state apportate delle modifiche a Secure Transport in modo che una rinegoziazione debba usare per impostazione predefinita lo stesso certificato server adottato nella connessione originale.

    CVE-ID

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan e Alfredo Pironti di Prosecco presso Inria Paris

  • Apple TV

    Disponibile per: Apple TV (2a generazione) e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

    Descrizione: vengono rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2013-2871: miaubiz

    CVE-2014-1298: Google Chrome Security Team

    CVE-2014-1299: Google Chrome Security Team, Apple, Renata Hodovan dell'Università di Szeged/Samsung Electronics

    CVE-2014-1300: Ian Beer di Google Project Zero collaboratore della Zero Day Initiative di HP

    CVE-2014-1302: Google Chrome Security Team, Apple

    CVE-2014-1303: KeenTeam collaboratore della Zero Day Initiative di HP

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: Google Chrome Security Team

    CVE-2014-1308: Google Chrome Security Team

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: Google Chrome Security Team

    CVE-2014-1311: Google Chrome Security Team

    CVE-2014-1312: Google Chrome Security Team

    CVE-2014-1313: Google Chrome Security Team

    CVE-2014-1713: VUPEN collaboratore della Zero Day Initiative di HP

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: