Informazioni sui contenuti di sicurezza di Apple TV 7.2.1
Questo documento descrive i contenuti di sicurezza di Apple TV 7.2.1.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.
Apple TV 7.2.1
BootP
Disponibile per: Apple TV (3a generazione)
Impatto: una rete Wi-Fi pericolosa potrebbe individuare le reti da cui un dispositivo ha precedentemente effettuato l'accesso
Descrizione: connettendosi a una rete Wi-Fi, iOS può trasmettere gli indirizzi MAC delle reti a cui è stato effettuato l'accesso precedentemente tramite il protocollo DNAv4. Questo problema viene risolto disattivando DNAv4 sulle reti Wi-Fi non crittografate.
ID CVE
CVE-2015-3778: Piers O'Hanlon dell'Oxford Internet Institute, University of Oxford (progetto EPSRC Being There)
CloudKit
Disponibile per: Apple TV (3a generazione)
Impatto: un'applicazione dannosa può accedere al record iCloud di un utente che ha eseguito l'accesso in precedenza.
Descrizione: durante la disconnessione degli utenti si verifica un'incoerenza dello stato in iCloudKit. Questo problema viene risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-3782: Deepkanwal Plaha della University of Toronto
CFPreferences
Disponibile per: Apple TV (3a generazione)
Impatto: un'app dannosa può leggere le preferenze gestite di altre app.
Descrizione: si verifica un problema nella sandbox delle app di terze parti. Questo problema viene risolto migliorando il profilo della sandbox di terze parti.
ID CVE
CVE-2015-3793: Andreas Weinlein dell'Appthority Mobility Threat Team
Firma del codice
Disponibile per: Apple TV (3a generazione)
Impatto: un'applicazione dannosa può eseguire codice non firmato.
Descrizione: si verifica un problema che consente l'aggiunta di codice non firmato al codice firmato in un file eseguibile appositamente creato. Questo problema viene risolto attraverso una migliore convalida della firma del codice.
ID CVE
CVE-2015-3806: TaiG Jailbreak Team
Firma del codice
Disponibile per: Apple TV (3a generazione)
Impatto: un file eseguibile creato appositamente può consentire l'esecuzione di codice dannoso, non firmato.
Descrizione: si verifica un problema sulla modalità di valutazione dei file eseguibili su più architetture che può causare l'esecuzione di codice non firmato. Questo problema viene risolto mediante una migliore convalida dei file eseguibili.
ID CVE
CVE-2015-3803: TaiG Jailbreak Team
Firma del codice
Disponibile per: Apple TV (3a generazione)
Impatto: un utente locale può eseguire codice non firmato.
Descrizione: si verifica un problema di convalida nella gestione dei file di Mach-O. Questo problema viene risolto aggiungendo ulteriori verifiche.
ID CVE
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
CoreMedia Playback
Disponibile per: Apple TV (3a generazione)
Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria in CoreMedia Playback. Questo problema viene risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Disponibile per: Apple TV (3a generazione)
Impatto: l'elaborazione di un file font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
DiskImages
Disponibile per: Apple TV (3a generazione)
Impatto: l'elaborazione di un file DMG pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nell'analisi di immagini DMG dal formato non corretto. Questo problema viene risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-3800: Frank Graziano dello Yahoo Pentest Team
FontParser
Disponibile per: Apple TV (3a generazione)
Impatto: l'elaborazione di un file font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-3804: Apple
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5775: Apple
ImageIO
Disponibile per: Apple TV (3a generazione)
Impatto: l'elaborazione di un file .tiff pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file .tiff. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-5758: Apple
ImageIO
Disponibile per: Apple TV (3a generazione)
Impatto: l'analisi di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria.
Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle immagini PNG da parte di ImageIO. Questo problema viene risolto attraverso una migliore inizializzazione della memoria e un'ulteriore convalida delle immagini PNG.
ID CVE
CVE-2015-5781: Michal Zalewski
ImageIO
Disponibile per: Apple TV (3a generazione)
Impatto: l'analisi di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria.
Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle immagini TIFF da parte di ImageIO. Questo problema viene risolto attraverso una migliore inizializzazione della memoria e un'ulteriore convalida delle immagini TIFF.
ID CVE
CVE-2015-5782: Michal Zalewski
IOKit
Disponibile per: Apple TV (3a generazione)
Impatto: l'analisi di un plist pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione di plist dal formato non corretto. Questo problema viene risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-3776: Teddy Reed di Facebook Security, Patrick Stein (@jollyjinx) di Jinx Germany
IOHIDFamily
Disponibile per: Apple TV (3a generazione)
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-5774: TaiG Jailbreak Team
Kernel
Disponibile per: Apple TV (3a generazione)
Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.
Descrizione: si verifica un problema nell'interfaccia mach_port_space_info che può causare la divulgazione del layout della memoria del kernel. Questo problema viene risolto disabilitando l'interfaccia mach_port_space_info.
ID CVE
CVE-2015-3766: Cererdlong dell'Alibaba Mobile Security Team, @PanguTeam
Kernel
Disponibile per: Apple TV (3a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow di numeri interi nella gestione delle funzioni di IOKit. Questo problema è stato risolto mediante una migliore convalida degli argomenti API con IOKit.
ID CVE
CVE-2015-3768: Ilja van Sprundel
Libc
Disponibile per: Apple TV (3a generazione)
Impatto: l'elaborazione di un'espressione regolare pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella libreria TRE. Questo problema viene risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-3796: Ian Beer di Google Project Zero
CVE-2015-3797: Ian Beer di Google Project Zero
CVE-2015-3798: Ian Beer di Google Project Zero
Libinfo
Disponibile per: Apple TV (3a generazione)
Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei socket AF_INET6. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5776: Apple
libpthread
Disponibile per: Apple TV (3a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione delle chiamate di sistema. Questo problema è stato risolto attraverso un migliore controllo dello stato di blocco.
ID CVE
CVE-2015-5757: Lufeng Li di Qihoo 360
libxml2
Disponibile per: Apple TV (3a generazione)
Impatto: l'analisi di un documento XML pericoloso può determinare la divulgazione delle informazioni utente
Descrizione: è presente un problema di danneggiamento della memoria nell'analisi di file XML. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-3807: Michal Zalewski
libxml2
Disponibile per: Apple TV (3a generazione)
Impatto: sono presenti diverse vulnerabilità nelle versioni di libxml2 precedenti alla 2.9.2, la più grave delle quali può permettere a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").
Descrizione: sono presenti diverse vulnerabilità nelle versioni di libxml2 precedenti alla 2.9.2. Questi problemi vengono risolti con l'aggiornamento di libxml2 alla versione 2.9.2.
ID CVE
CVE-2012-6685: Felix Groebert di Google Chrome
CVE-2014-0191: Felix Groebert di Google Chrome
CVE-2014-3660: Felix Groebert di Google
libxpc
Disponibile per: Apple TV (3a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione di messaggi XPC dal formato non corretto. Questo problema viene risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-3795: Mathew Rowley
libxslt
Disponibile per: Apple TV (4a generazione)
Impatto: l'elaborazione di XML pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di confusione dei tipi in libxslt. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-7995: puzzor
Framework di Localizzazione
Disponibile per: Apple TV (3a generazione)
Impatto: un utente locale può modificare parti protette del filesystem.
Descrizione: un problema di link simbolico viene risolto attraverso una migliore convalida dei percorsi.
ID CVE
CVE-2015-3759: Cererdlong dell'Alibaba Mobile Security Team
Office Viewer
Disponibile per: Apple TV (3a generazione)
Impatto: l'analisi di un XML pericoloso può determinare la divulgazione delle informazioni utente.
Descrizione: si verifica un problema di riferimento a entità esterne nell'analisi dei XML. Questo problema viene risolto attraverso una migliore analisi.
ID CVE
CVE-2015-3784: Bruno Morisson di INTEGRITY S.A.
QL Office
Disponibile per: Apple TV (3a generazione)
Impatto: l'analisi di un documento Microsoft Office pericoloso potrebbe causare una chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: è presente un problema di danneggiamento della memoria nell'analisi dei file Microsoft Office. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5773: Apple
Profili delle sandbox
Disponibile per: Apple TV (3a generazione)
Impatto: un'app dannosa può leggere le preferenze gestite di altre app.
Descrizione: si verifica un problema nella sandbox delle app di terze parti. Questo problema viene risolto migliorando il profilo della sandbox di terze parti.
ID CVE
CVE-2015-5749: Andreas Weinlein dell'Appthority Mobility Threat Team
WebKit
Disponibile per: Apple TV (3a generazione)
Impatto: l'elaborazione di contenuti web pericolosi può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-3730: Apple
CVE-2015-3731: Apple
CVE-2015-3732: Apple
CVE-2015-3733: Apple
CVE-2015-3734: Apple
CVE-2015-3735: Apple
CVE-2015-3736: Apple
CVE-2015-3737: Apple
CVE-2015-3738: Apple
CVE-2015-3739: Apple
CVE-2015-3740: Apple
CVE-2015-3741: Apple
CVE-2015-3742: Apple
CVE-2015-3743: Apple
CVE-2015-3744: Apple
CVE-2015-3745: Apple
CVE-2015-3746: Apple
CVE-2015-3747: Apple
CVE-2015-3748: Apple
CVE-2015-3749: Apple
WebKit
Disponibile per: Apple TV (3a generazione)
Impatto: contenuti web pericolosi potrebbero esfiltrare la multiorigine dei dati immagine.
Descrizione: le immagini scaricate attraverso gli URL che reindirizzano a un risorsa data:image potrebbero essere esfiltrate dalla multiorgine. Il problema viene risolto migliorando il tracking della tinta delle aree di lavoro.
ID CVE
CVE-2015-3753: Antonio Sanso e Damien Antipa di Adobe
WebKit
Disponibile per: Apple TV (3a generazione)
Impatto: contenuti web pericolosi potrebbero attivare richieste con testo normale per un'origine in HTTP Strict Transport Security.
Descrizione: si verifica un problema per cui le richieste di report di Content Security Policy non rispettano il protocollo HTTP Strict Transport Security (HSTS). Questo problema viene risolto attraverso l'applicazione del protocollo HSTS a CSP.
ID CVE
CVE-2015-3750: Muneaki Nishimura (nishimunea)
WebKit
Disponibile per: Apple TV (3a generazione)
Impatto: le richieste di report per la Content Security Policy possono divulgare i cookie.
Descrizione: si verificano due problemi nel modo in cui i cookie vengono aggiunti alle richieste di report per la Content Security Policy. I cookie vengono inviati in richieste di report multiorigine in violazione dello standard. I cookie impostati durante la normale navigazione vengono inviati in modalità di navigazione privata. Questi problemi vengono risolti mediante una migliore gestione dei cookie.
ID CVE
CVE-2015-3752: Muneaki Nishimura (nishimunea)
WebKit
Disponibile per: Apple TV (3a generazione)
Impatto: il caricamento delle immagini può causare la violazione della direttiva della Content Security Policy di un sito web.
Descrizione: si verifica un problema per cui l'elaborazione di contenuti web con controlli video carica le immagini nidificate negli elementi oggetto in violazione della direttiva della Content Security Policy del sito web. Questo problema viene risolto attraverso il miglioramento della Content Security Policy.
ID CVE
CVE-2015-3751: Muneaki Nishimura (nishimunea)
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.