Informazioni sui contenuti di sicurezza di Apple TV 7.0.3
In questo documento vengono descritti i contenuti di sicurezza di Apple TV 7.0.3.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.
Apple TV 7.0.3
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: un comando afc dannoso può consentire l’accesso a parti protette del filesystem.
Descrizione: si verifica una vulnerabilità nel meccanismo di collegamento simbolico di afc. Il problema è stato risolto aggiungendo ulteriori controlli del percorso.
CVE-ID
CVE-2014-4480 : TaiG Jailbreak Team
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: l’apertura di un file PDF dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.
Descrizione: si verifica un overflow di numeri interi nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4481 : Felipe Andres Manzano di Binamuse VRT tramite l’iSIGHT Partners GVP Program
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: un utente locale può eseguire codice non firmato.
Descrizione: si verifica un problema nella gestione dello stato dei file eseguibili Mach-O con segmenti sovrapposti. Questo problema viene risolto attraverso una migliore convalida delle dimensioni dei segmenti.
CVE-ID
CVE-2014-4455 : TaiG Jailbreak Team
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: l’apertura di un file PDF dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione dei file font. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4483 : Apple
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: l’elaborazione di un file .dfont dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file .dfont. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4484 : Gaurav Baruah collaboratore della Zero Day Initiative di HP
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: la visualizzazione di un file XML dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nel parser XML. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4485 : Apple
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore nella gestione da parte di IOAcceleratorFamily degli elenchi di risorse. Il problema è stato risolto rimuovendo il codice non richiesto.
CVE-ID
CVE-2014-4486 : Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida delle dimensioni.
CVE-ID
CVE-2014-4487 : TaiG Jailbreak Team
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di convalida nella gestione da parte di IOHIDFamily dei metadati della coda delle risorse. Il problema è stato risolto attraverso una migliore convalida dei metadati.
CVE-ID
CVE-2014-4488 : Apple
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione da parte di IOHIDFamily delle code di eventi. che è stato risolto attraverso una migliore convalida.
CVE-ID
CVE-2014-4489 : @beist
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: le applicazioni iOS dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.
Descrizione: si verifica un problema di gestione delle API collegate alle estensioni del kernel che causa la divulgazione di informazioni. Le risposte contenenti un codice OSBundleMachOHeaders possono includere indirizzi kernel in grado di ignorare la protezione ASLR (Address Space Layout Randomization, randomizzazione dello spazio degli indirizzi). Il problema viene risolto sbloccando gli indirizzi prima della loro restituzione.
CVE-ID
CVE-2014-4491 : @PanguTeam, Stefan Esser
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema nel sottosistema di memoria condivisa del kernel che consente a un malintenzionato di scrivere sulla memoria che dovrebbe essere di sola lettura. Il problema è stato risolto attraverso controlli più rigidi delle autorizzazioni per la memoria condivisa.
CVE-ID
CVE-2014-4495 : Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: le applicazioni iOS dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.
Descrizione: l’interfaccia kernel mach_port_kobject divulga il valore della permutazione della memoria di heap e gli indirizzi kernel in grado di bypassare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Il problema è stato risolto disabilitando l’interfaccia mach_port_kobject nelle configurazioni di produzione.
CVE-ID
CVE-2014-4496 : TaiG Jailbreak Team
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: un’app sandboxed dannosa può compromettere il daemon networkd.
Descrizione: si verificano diversi problemi di confusione dei tipi nella gestione da parte di networkd della comunicazione interprocesso. Inviando un messaggio con formato dannoso a networkd, è possibile eseguire codice arbitrario come processo di networkd. Il problema è stato risolto attraverso un ulteriore controllo dei tipi.
CVE-ID
CVE-2014-4492 : Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: i fogli di stile sono caricati come elementi multiorigine, ciò può comportare l’esfiltrazione dei dati.
Descrizione: un file SVG caricato in un elemento img può caricare un file CSS multiorigine. Questo problema viene risolto attraverso un migliore blocco dei riferimenti CSS nei file SVG.
CVE-ID
CVE-2014-4465 : Rennie deGraaf di iSEC Partners
Apple TV
Disponibile per: Apple TV (3a generazione) e versioni più recenti
Impatto: l’accesso a un sito web dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. che sono stati risolti mediante una migliore gestione della memoria.
CVE-ID
CVE-2014-3192 : cloudfuzzer
CVE-2014-4459
CVE-2014-4466 : Apple
CVE-2014-4468 : Apple
CVE-2014-4469 : Apple
CVE-2014-4470 : Apple
CVE-2014-4471 : Apple
CVE-2014-4472 : Apple
CVE-2014-4473 : Apple
CVE-2014-4474 : Apple
CVE-2014-4475 : Apple
CVE-2014-4476 : Apple
CVE-2014-4477 : lokihardt@ASRT collaboratore della Zero Day Initiative di HP
CVE-2014-4479 : Apple
Apple TV
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: la libreria libgssapi Kerberos ha fornito un token di contesto con un puntatore pendente. Il problema è stato risolto migliorando la gestione dello stato.
CVE-ID
CVE-2014-5352
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.