Informazioni sui contenuti di sicurezza di Apple TV 7.2.1

Questo documento descrive i contenuti di sicurezza di Apple TV 7.2.1.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.

Apple TV 7.2.1

  • BootP

    Disponibile per: Apple TV (3a generazione)

    Impatto: una rete Wi-Fi pericolosa potrebbe individuare le reti da cui un dispositivo ha precedentemente effettuato l'accesso

    Descrizione: connettendosi a una rete Wi-Fi, iOS può trasmettere gli indirizzi MAC delle reti a cui è stato effettuato l'accesso precedentemente tramite il protocollo DNAv4. Questo problema viene risolto disattivando DNAv4 sulle reti Wi-Fi non crittografate.

    ID CVE

    CVE-2015-3778: Piers O'Hanlon dell'Oxford Internet Institute, University of Oxford (progetto EPSRC Being There)

  • CloudKit

    Disponibile per: Apple TV (3a generazione)

    Impatto: un'applicazione dannosa può accedere al record iCloud di un utente che ha eseguito l'accesso in precedenza.

    Descrizione: durante la disconnessione degli utenti si verifica un'incoerenza dello stato in iCloudKit. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-3782: Deepkanwal Plaha della University of Toronto

  • CFPreferences

    Disponibile per: Apple TV (3a generazione)

    Impatto: un'app dannosa può leggere le preferenze gestite di altre app.

    Descrizione: si verifica un problema nella sandbox delle app di terze parti. Questo problema viene risolto migliorando il profilo della sandbox di terze parti.

    ID CVE

    CVE-2015-3793: Andreas Weinlein dell'Appthority Mobility Threat Team

  • Firma del codice

    Disponibile per: Apple TV (3a generazione)

    Impatto: un'applicazione dannosa può eseguire codice non firmato.

    Descrizione: si verifica un problema che consente l'aggiunta di codice non firmato al codice firmato in un file eseguibile appositamente creato. Questo problema viene risolto attraverso una migliore convalida della firma del codice.

    ID CVE

    CVE-2015-3806: TaiG Jailbreak Team

  • Firma del codice

    Disponibile per: Apple TV (3a generazione)

    Impatto: un file eseguibile creato appositamente può consentire l'esecuzione di codice dannoso, non firmato.

    Descrizione: si verifica un problema sulla modalità di valutazione dei file eseguibili su più architetture che può causare l'esecuzione di codice non firmato. Questo problema viene risolto mediante una migliore convalida dei file eseguibili.

    ID CVE

    CVE-2015-3803: TaiG Jailbreak Team

  • Firma del codice

    Disponibile per: Apple TV (3a generazione)

    Impatto: un utente locale può eseguire codice non firmato.

    Descrizione: si verifica un problema di convalida nella gestione dei file di Mach-O. Questo problema viene risolto aggiungendo ulteriori verifiche.

    ID CVE

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • CoreMedia Playback

    Disponibile per: Apple TV (3a generazione)

    Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria in CoreMedia Playback. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'elaborazione di un file font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'elaborazione di un file DMG pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'analisi di immagini DMG dal formato non corretto. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3800: Frank Graziano dello Yahoo Pentest Team

  • FontParser

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'elaborazione di un file font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'elaborazione di un file .tiff pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file .tiff. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'analisi di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle immagini PNG da parte di ImageIO. Questo problema viene risolto attraverso una migliore inizializzazione della memoria e un'ulteriore convalida delle immagini PNG.

    ID CVE

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'analisi di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle immagini TIFF da parte di ImageIO. Questo problema viene risolto attraverso una migliore inizializzazione della memoria e un'ulteriore convalida delle immagini TIFF.

    ID CVE

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'analisi di un plist pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione di plist dal formato non corretto. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3776: Teddy Reed di Facebook Security, Patrick Stein (@jollyjinx) di Jinx Germany

  • IOHIDFamily

    Disponibile per: Apple TV (3a generazione)

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Disponibile per: Apple TV (3a generazione)

    Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema nell'interfaccia mach_port_space_info che può causare la divulgazione del layout della memoria del kernel. Questo problema viene risolto disabilitando l'interfaccia mach_port_space_info.

    ID CVE

    CVE-2015-3766: Cererdlong dell'Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Disponibile per: Apple TV (3a generazione)

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verificava un overflow di numeri interi nella gestione delle funzioni di IOKit. Questo problema è stato risolto mediante una migliore convalida degli argomenti API con IOKit.

    ID CVE

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'elaborazione di un'espressione regolare pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella libreria TRE. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3796: Ian Beer di Google Project Zero

    CVE-2015-3797: Ian Beer di Google Project Zero

    CVE-2015-3798: Ian Beer di Google Project Zero

  • Libinfo

    Disponibile per: Apple TV (3a generazione)

    Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei socket AF_INET6. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponibile per: Apple TV (3a generazione)

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione delle chiamate di sistema. Questo problema è stato risolto attraverso un migliore controllo dello stato di blocco.

    ID CVE

    CVE-2015-5757: Lufeng Li di Qihoo 360

  • libxml2

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'analisi di un documento XML pericoloso può determinare la divulgazione delle informazioni utente

    Descrizione: è presente un problema di danneggiamento della memoria nell'analisi di file XML. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Disponibile per: Apple TV (3a generazione)

    Impatto: sono presenti diverse vulnerabilità nelle versioni di libxml2 precedenti alla 2.9.2, la più grave delle quali può permettere a un malintenzionato collegato in remoto di causare un DoS ("Denial of Service").

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di libxml2 precedenti alla 2.9.2. Questi problemi vengono risolti con l'aggiornamento di libxml2 alla versione 2.9.2.

    ID CVE

    CVE-2012-6685: Felix Groebert di Google Chrome

    CVE-2014-0191: Felix Groebert di Google Chrome

    CVE-2014-3660: Felix Groebert di Google

  • libxpc

    Disponibile per: Apple TV (3a generazione)

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione di messaggi XPC dal formato non corretto. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3795: Mathew Rowley

  • libxslt

    Disponibile per: Apple TV (4a generazione)

    Impatto: l'elaborazione di XML pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: si verifica un problema di confusione dei tipi in libxslt. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-7995: puzzor

  • Framework di Localizzazione

    Disponibile per: Apple TV (3a generazione)

    Impatto: un utente locale può modificare parti protette del filesystem.

    Descrizione: un problema di link simbolico viene risolto attraverso una migliore convalida dei percorsi.

    ID CVE

    CVE-2015-3759: Cererdlong dell'Alibaba Mobile Security Team

  • Office Viewer

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'analisi di un XML pericoloso può determinare la divulgazione delle informazioni utente.

    Descrizione: si verifica un problema di riferimento a entità esterne nell'analisi dei XML. Questo problema viene risolto attraverso una migliore analisi.

    ID CVE

    CVE-2015-3784: Bruno Morisson di INTEGRITY S.A. 

  • QL Office

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'analisi di un documento Microsoft Office pericoloso potrebbe causare una chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: è presente un problema di danneggiamento della memoria nell'analisi dei file Microsoft Office. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5773: Apple

  • Profili delle sandbox

    Disponibile per: Apple TV (3a generazione)

    Impatto: un'app dannosa può leggere le preferenze gestite di altre app.

    Descrizione: si verifica un problema nella sandbox delle app di terze parti. Questo problema viene risolto migliorando il profilo della sandbox di terze parti.

    ID CVE

    CVE-2015-5749: Andreas Weinlein dell'Appthority Mobility Threat Team

  • WebKit

    Disponibile per: Apple TV (3a generazione)

    Impatto: l'elaborazione di contenuti web pericolosi può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Disponibile per: Apple TV (3a generazione)

    Impatto: contenuti web pericolosi potrebbero esfiltrare la multiorigine dei dati immagine.

    Descrizione: le immagini scaricate attraverso gli URL che reindirizzano a un risorsa data:image potrebbero essere esfiltrate dalla multiorgine. Il problema viene risolto migliorando il tracking della tinta delle aree di lavoro.

    ID CVE

    CVE-2015-3753: Antonio Sanso e Damien Antipa di Adobe

  • WebKit

    Disponibile per: Apple TV (3a generazione)

    Impatto: contenuti web pericolosi potrebbero attivare richieste con testo normale per un'origine in HTTP Strict Transport Security.

    Descrizione: si verifica un problema per cui le richieste di report di Content Security Policy non rispettano il protocollo HTTP Strict Transport Security (HSTS). Questo problema viene risolto attraverso l'applicazione del protocollo HSTS a CSP.

    ID CVE

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponibile per: Apple TV (3a generazione)

    Impatto: le richieste di report per la Content Security Policy possono divulgare i cookie.

    Descrizione: si verificano due problemi nel modo in cui i cookie vengono aggiunti alle richieste di report per la Content Security Policy. I cookie vengono inviati in richieste di report multiorigine in violazione dello standard. I cookie impostati durante la normale navigazione vengono inviati in modalità di navigazione privata. Questi problemi vengono risolti mediante una migliore gestione dei cookie.

    ID CVE

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponibile per: Apple TV (3a generazione)

    Impatto: il caricamento delle immagini può causare la violazione della direttiva della Content Security Policy di un sito web.

    Descrizione: si verifica un problema per cui l'elaborazione di contenuti web con controlli video carica le immagini nidificate negli elementi oggetto in violazione della direttiva della Content Security Policy del sito web. Questo problema viene risolto attraverso il miglioramento della Content Security Policy.

    ID CVE

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: