Apple TV 5.1.1 のセキュリティコンテンツについて

この記事では、Apple TV 5.1.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Apple TV 5.1.1

• Apple TV

  対象となるバージョン：Apple TV (第 2 世代) 以降

  影響：セキュリティを侵害されたアプリケーションが、カーネルのアドレスを決定できる可能性がある。

  説明：カーネル拡張機能に関連する API の処理に情報漏洩の問題がありました。OSBundleMachOHeaders キーが含まれる応答に、アドレス空間レイアウトのランダム化機能による保護をバイパスするのに役立つカーネルアドレスが含まれていた可能性があります。この問題は、アドレスを返す前にアドレスのスライドを停止することで解決されました。

  CVE-ID

  CVE-2012-3749：Azimuth Security の Mark Dowd 氏、Square の Eric Monti 氏、およびその他の匿名の研究者

• Apple TV

  対象となるバージョン：Apple TV (第 2 世代) 以降

  影響：ネットワーク上で特権的な地位を利用した攻撃者が、アプリケーションを予期せず終了させたり、任意のコードを実行したりする可能性がある。

  説明：JavaScript の配列の処理に、TOCTOU (time of check - time of use) の問題が存在します。この問題は、JavaScript の配列の検証を強化することによって解決されています。

  CVE-ID

  CVE-2012-3748：HP TippingPoint の Zero Day Initiative に協力する Certified Secure の Joost Pol 氏および Daan Keuper 氏