Informazioni sui contenuti di sicurezza di Apple TV 7.0.3

In questo documento vengono descritti i contenuti di sicurezza di Apple TV 7.0.3.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

Apple TV 7.0.3

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un comando afc dannoso può consentire l’accesso a parti protette del filesystem.

    Descrizione: si verifica una vulnerabilità nel meccanismo di collegamento simbolico di afc. Il problema è stato risolto aggiungendo ulteriori controlli del percorso.

    CVE-ID

    CVE-2014-4480 : TaiG Jailbreak Team

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: l’apertura di un file PDF dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow di numeri interi nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4481 : Felipe Andres Manzano di Binamuse VRT tramite l’iSIGHT Partners GVP Program

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un utente locale può eseguire codice non firmato.

    Descrizione: si verifica un problema nella gestione dello stato dei file eseguibili Mach-O con segmenti sovrapposti. Questo problema viene risolto attraverso una migliore convalida delle dimensioni dei segmenti.

    CVE-ID

    CVE-2014-4455 : TaiG Jailbreak Team

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: l’apertura di un file PDF dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione dei file font. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4483 : Apple

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: l’elaborazione di un file .dfont dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file .dfont. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4484 : Gaurav Baruah collaboratore della Zero Day Initiative di HP

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: la visualizzazione di un file XML dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nel parser XML. Il problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4485 : Apple

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore nella gestione da parte di IOAcceleratorFamily degli elenchi di risorse. Il problema è stato risolto rimuovendo il codice non richiesto.

    CVE-ID

    CVE-2014-4486 : Ian Beer di Google Project Zero

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida delle dimensioni.

    CVE-ID

    CVE-2014-4487 : TaiG Jailbreak Team

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida nella gestione da parte di IOHIDFamily dei metadati della coda delle risorse. Il problema è stato risolto attraverso una migliore convalida dei metadati.

    CVE-ID

    CVE-2014-4488 : Apple

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione da parte di IOHIDFamily delle code di eventi. che è stato risolto attraverso una migliore convalida.

    CVE-ID

    CVE-2014-4489 : @beist

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: le applicazioni iOS dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: si verifica un problema di gestione delle API collegate alle estensioni del kernel che causa la divulgazione di informazioni. Le risposte contenenti un codice OSBundleMachOHeaders possono includere indirizzi kernel in grado di ignorare la protezione ASLR (Address Space Layout Randomization, randomizzazione dello spazio degli indirizzi). Il problema viene risolto sbloccando gli indirizzi prima della loro restituzione.

    CVE-ID

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema nel sottosistema di memoria condivisa del kernel che consente a un malintenzionato di scrivere sulla memoria che dovrebbe essere di sola lettura. Il problema è stato risolto attraverso controlli più rigidi delle autorizzazioni per la memoria condivisa.

    CVE-ID

    CVE-2014-4495 : Ian Beer di Google Project Zero

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: le applicazioni iOS dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: l’interfaccia kernel mach_port_kobject divulga il valore della permutazione della memoria di heap e gli indirizzi kernel in grado di bypassare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Il problema è stato risolto disabilitando l’interfaccia mach_port_kobject nelle configurazioni di produzione.

    CVE-ID

    CVE-2014-4496 : TaiG Jailbreak Team

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un’app sandboxed dannosa può compromettere il daemon networkd.

    Descrizione: si verificano diversi problemi di confusione dei tipi nella gestione da parte di networkd della comunicazione interprocesso. Inviando un messaggio con formato dannoso a networkd, è possibile eseguire codice arbitrario come processo di networkd. Il problema è stato risolto attraverso un ulteriore controllo dei tipi.

    CVE-ID

    CVE-2014-4492 : Ian Beer di Google Project Zero

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: i fogli di stile sono caricati come elementi multiorigine, ciò può comportare l’esfiltrazione dei dati.

    Descrizione: un file SVG caricato in un elemento img può caricare un file CSS multiorigine. Questo problema viene risolto attraverso un migliore blocco dei riferimenti CSS nei file SVG.

    CVE-ID

    CVE-2014-4465 : Rennie deGraaf di iSEC Partners

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: l’accesso a un sito web dannoso può causare una chiusura improvvisa dell’applicazione o l’esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. che sono stati risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2014-3192 : cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466 : Apple

    CVE-2014-4468 : Apple

    CVE-2014-4469 : Apple

    CVE-2014-4470 : Apple

    CVE-2014-4471 : Apple

    CVE-2014-4472 : Apple

    CVE-2014-4473 : Apple

    CVE-2014-4474 : Apple

    CVE-2014-4475 : Apple

    CVE-2014-4476 : Apple

    CVE-2014-4477 : lokihardt@ASRT collaboratore della Zero Day Initiative di HP

    CVE-2014-4479 : Apple

  • Apple TV

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un’applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: la libreria libgssapi Kerberos ha fornito un token di contesto con un puntatore pendente. Il problema è stato risolto migliorando la gestione dello stato.

    CVE-ID

    CVE-2014-5352

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: