Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.
Apple TV 7
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente malintenzionato può acquisire le credenziali Wi-Fi.
Descrizione: un utente malintenzionato potrebbe aver creato un falso punto di accesso Wi-Fi, offerto l'autenticazione tramite il protocollo LEAP, compromesso l'Hash MS-CHAPv1 e usato le credenziali derivanti per autenticare il punto di accesso determinato anche se tale punto di accesso supportava rigorosi metodi di autenticazione. Questo problema è stato risolto mediante la rimozione del supporto per LEAP.
ID CVE
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte della Universiteit Hasselt
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente malintenzionato con accesso a un dispositivo può accedere alle informazioni riservate dell'utente tramite i registri.
Descrizione: veniva registrato un accesso alle informazioni riservate dell'utente. Questo problema è stato risolto riducendo il numero di informazioni registrate.
ID CVE
CVE-2014-4357: Heli Myllykoski di OP-Pohjola Group
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente malintenzionato con una posizione privilegiata in rete può far risultare un dispositivo aggiornato anche se non lo è.
Descrizione: si verificava un problema di convalida nella gestione delle risposte di controllo dell'aggiornamento. Le date fraudolente provenienti dalle intestazioni delle risposte Last-Modified impostate su date future venivano usate per i controlli If-Modified-Since nelle successive richieste di aggiornamento. Questo problema è stato risolto tramite la convalida dell'intestazione Last-Modified.
ID CVE
CVE-2014-4383: Raul Siles di DinoSec
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow di numeri interi nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-4377: Felipe Andres Manzano di Binamuse VRT in collaborazione con iSIGHT Partners GVP Program
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: l'apertura di un file PDF dannoso può causare la chiusura improvvisa dell'applicazione o la divulgazione di informazioni.
Descrizione: si verificava un problema di lettura della memoria fuori dai limiti nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-4378: Felipe Andres Manzano di Binamuse VRT in collaborazione con iSIGHT Partners GVP Program
- Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione può causare una chiusura improvvisa del sistema.
Descrizione: si verificava un problema relativo alla dereferenziazione del puntatore null nella gestione degli argomenti API con IOAcceleratorFamily. Questo problema è stato risolto attraverso la migliore convalida degli argomenti API con IOAcceleratorFamily.
ID CVE
CVE-2014-4369: Sarah (alias winocm) e Cererdlong di Alibaba Mobile Security Team
Voce aggiunta il 3 febbraio 2020
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: il dispositivo può riavviarsi inaspettatamente.
Descrizione: si verificava un problema relativo alla dereferenziazione del puntatore null nel driver IntelAccelerator. Questo problema è stato risolto attraverso una migliore gestione degli errori.
ID CVE
CVE-2014-4373: cunzhang di Adlab di Venustech
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione dannosa può leggere i puntatori kernel, che possono essere usati per ignorare la funzione Address Space Layout Randomization (ASLR).
Descrizione: si verificava un problema di lettura non nei limiti nella gestione di una funzione IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-4379: Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow del buffer della memoria heap nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-4404: Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema relativo alla dereferenziazione del puntatore null nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Questo problema è stato risolto attraverso una migliore convalida delle proprietà di mappatura dei tasti di IOHIDFamily.
ID CVE
CVE-2014-4405: Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verificava un problema di scrittura non nei limiti nell'estensione kernel di IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-4380: cunzhang di Adlab di Venustech
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione dannosa può leggere dati non inizializzati dalla memoria kernel.
Descrizione: si verificava un problema relativo all'accesso alla memoria non inizializzata nella gestione delle funzioni di IOKit. Il problema è stato risolto attraverso una migliore inizializzazione della memoria
ID CVE
CVE-2014-4407: @PanguTeam
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Il problema è stato risolto attraverso una migliore convalida dei metadati.
ID CVE
CVE-2014-4418: Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Il problema è stato risolto attraverso una migliore convalida dei metadati.
ID CVE
CVE-2014-4388: @PanguTeam
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow di numeri interi nella gestione delle funzioni di IOKit. Questo problema è stato risolto mediante una migliore convalida degli argomenti API con IOKit.
ID CVE
CVE-2014-4389: Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificavano diversi problemi relativi alla memoria non inizializzata nell'interfaccia delle statistiche di rete che comportavano la divulgazione dei contenuti della memoria del kernel. Questo problema è stato risolto attraverso un'ulteriore inizializzazione della memoria.
ID CVE
CVE-2014-4371: Fermin J. Serna del Google Security Team
CVE-2014-4419: Fermin J. Serna del Google Security Team
CVE-2014-4420: Fermin J. Serna del Google Security Team
CVE-2014-4421: Fermin J. Serna del Google Security Team
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente con una posizione privilegiata in rete può causare un DoS (Denial of Service).
Descrizione: si verificava una race condition nella gestione dei pacchetti IPv6. Questo problema è stato risolto attraverso un migliore controllo dello stato di blocco.
ID CVE
CVE-2011-2391: Marc Heuse
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente locale può riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel.
Descrizione: si verificava un problema relativo al double free nella gestione delle porte Mach. Questo problema è stato risolto attraverso una migliore convalida delle porte Mach.
ID CVE
CVE-2014-4375
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente locale può riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel.
Descrizione: si verificava un problema di lettura non nei limiti in rt_setgate, che poteva comportare la divulgazione o il danneggiamento della memoria. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-4408
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: alcune misure per l'hardening del kernel possono essere ignorate.
Descrizione: il generatore del numero casuale “anticipato” usato in alcune misure per l'hardening del kernel non era protetto in modo crittografato e alcuni risultati venivano divulgati nello spazio dell'utente, permettendo di ignorare le misure per l'hardening. Questo problema è stato risolto sostituendo il generatore del numero casuale con un algoritmo protetto in modo crittografato e usando una versione seed da 16 byte.
ID CVE
CVE-2014-4422: Tarjei Mandt di Azimuth Security
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root.
Descrizione: si verificava un problema di scrittura non nei limiti in Libnotify. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2014-4381: Ian Beer di Google Project Zero
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente locale può modificare i permessi relativi ai file arbitrari.
Descrizione: syslogd seguiva i link simbolici durante la modifica dei permessi relativi ai file. Questo problema è stato risolto attraverso una migliore gestione dei link simbolici.
ID CVE
CVE-2014-4372: Tielei Wang e YeongJin Jang del Georgia Tech Information Security Center (GTISC)
Apple TV
Disponibile per: Apple TV (3a generazione) e modelli successivi
Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit, che sono stati risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2013-6663: Atte Kettunen di OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel di Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple