Informazioni sul contenuto di sicurezza di Apple TV 7.0.3

In questo documento viene descritto il contenuto di sicurezza di Apple TV 7.0.3.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

Apple TV 7.0.3

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un comando afc dannoso può consentire l'accesso a parti protette del filesystem.

    Descrizione: si verifica una vulnerabilità nel meccanismo di collegamento simbolico di afc. Questo problema viene risolto aggiungendo ulteriori controlli del percorso.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow di numeri interi nella gestione dei file PDF. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano di Binamuse VRT tramite l'iSIGHT Partners GVP Program

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un utente locale può eseguire codice non firmato.

    Descrizione: si verifica un problema nella gestione dello stato dei file eseguibili Mach-O con segmenti sovrapposti. Questo problema viene risolto attraverso una migliore convalida delle dimensioni dei segmenti.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4483: Apple

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: l'elaborazione di un file .dfont dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file .dfont. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah collaboratore della Zero Day Initiative di HP

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: la visualizzazione di un file XML dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nel parser XML. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4485: Apple

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore nella gestione da parte di IOAcceleratorFamily degli elenchi di risorse. Questo problema viene risolto rimuovendo codice non richiesto.

    CVE-ID

    CVE-2014-4486: Ian Beer di Google Project Zero

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida delle dimensioni.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida nella gestione da parte di IOHIDFamily dei metadati della coda delle risorse. Questo problema viene risolto attraverso una migliore convalida dei metadati.

    CVE-ID

    CVE-2014-4488: Apple

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione da parte di IOHIDFamily delle code di eventi. Questo problema viene risolto attraverso una migliore convalida.

    CVE-ID

    CVE-2014-4489: @beist

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: le applicazioni iOS dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: si verifica un problema di gestione delle API collegate alle estensioni del kernel che causa la divulgazione di informazioni. Le risposte contenenti un codice OSBundleMachOHeaders possono includere indirizzi kernel in grado di bypassare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Questo problema viene risolto sbloccando gli indirizzi prima della loro restituzione.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema nel sottosistema di memoria condivisa del kernel che consente a un malintenzionato di scrivere sulla memoria che dovrebbe essere di sola lettura. Questo problema viene risolto attraverso controlli più rigidi delle autorizzazioni per la memoria condivisa.

    CVE-ID

    CVE-2014-4495: Ian Beer di Google Project Zero

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: le applicazioni iOS dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: l'interfaccia kernel mach_port_kobject divulga il valore della permutazione della memoria di heap e gli indirizzi kernel in grado di bypassare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Questo problema viene risolto disabilitando l'interfaccia mach_port_kobject nelle configurazioni di produzione.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: un'app sandboxed dannosa può compromettere il daemon networkd.

    Descrizione: si verificano diversi problemi di confusione dei tipi nella gestione da parte di networkd della comunicazione interprocesso. Inviando un messaggio con formato dannoso a networkd, è possibile eseguire codice arbitrario come processo di networkd. Questo problema viene risolto attraverso un ulteriore controllo dei tipi.

    CVE-ID

    CVE-2014-4492: Ian Beer di Google Project Zero

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: i fogli di stile sono caricati come elementi multiorigine, ciò può comportare l'esfiltrazione dei dati.

    Descrizione: un file SVG caricato in un elemento img può caricare un file CSS multiorigine. Questo problema viene risolto attraverso un migliore blocco dei riferimenti CSS nei file SVG.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf di iSEC Partners

  • Apple TV

    Disponibile per: Apple TV (3a generazione) e versioni più recenti

    Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT collaboratore della Zero Day Initiative di HP

    CVE-2014-4479: Apple

  • Apple TV

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: la libreria libgssapi Kerberos ha fornito un token di contesto con un puntatore pendente. Questo problema viene risolto migliorando la gestione dello stato.

    CVE-ID

    CVE-2014-5352

  •  

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: