Apple TV 7.2 のセキュリティコンテンツについて

Apple TV 7.2 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては こちら を参照してください。

Apple Product Security PGP キーについては こちらの記事 を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Apple TV 7.2

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:オーディオドライバによって使われる IOKit オブジェクトに、検証の脆弱性が存在します。この問題は、メタデータの検証を強化することで解決されました。

    CVE-ID

    CVE-2015-1086

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:NSXMLParser を使うアプリケーションが誤用され、情報が開示される可能性がある。

    説明:NSXMLParser による XML の処理に、XML 外部エンティティの問題が存在します。この問題は、オリジン間で外部エンティティを読み込まないようにすることで解決されました。

    CVE-ID

    CVE-2015-1092:Ikuya Fukumoto 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。

    説明:IOAcceleratorFamily の脆弱性を悪用され、カーネルメモリのコンテンツが漏洩する可能性があります。この問題は、不要なコードを削除することで解決されました。

    CVE-ID

    CVE-2015-1094:Alibaba Mobile Security Team の Cererdlong 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:細工された HID デバイスにより、任意のコードを実行される可能性がある。

    説明:IOHIDFamily API に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-1095:Andrew Church 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。

    説明:IOHIDFamily の脆弱性を悪用され、カーネルメモリのコンテンツが漏洩する可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2015-1096:IOActive の Ilja van Sprundel 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。

    説明:MobileFrameBuffer の脆弱性を悪用され、カーネルメモリのコンテンツが漏洩する可能性があります。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2015-1097:IBM X-Force Application Security Research Team の Barak Gabai 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意のあるアプリケーションから、サービス運用妨害を受ける可能性がある。

    説明:カーネルの setreuid システムコールに競合状態の脆弱性が存在します。この問題はステータス管理を改善したことで解消されました。

    CVE-ID

    CVE-2015-1099:Google Inc. の Mark Mentovai 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意のあるアプリケーションが、制限された権限での実行を意図されたサービスを不正利用して、権限を昇格できる可能性がある。

    説明:setreuid および setregid のシステムコールが、権限を適切に降格できません。この問題は、権限を適切に降格することで解決されました。

    CVE-ID

    CVE-2015-1117:Google Inc. の Mark Mentovai 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意のあるアプリケーションに、システムを突然終了されたり、カーネルメモリを読み取られる可能性がある。

    説明:カーネルに領域外メモリアクセスの脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-1100:m00nbsd の Maxime Villard 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:カーネルにメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2015-1101 : HP の Zero Day Initiative に協力する lokihardt@ASRT

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:ネットワーク上で特権的な地位を悪用した攻撃者から、サービス運用妨害を受ける可能性がある。

    説明:TCP ヘッダの処理に、ステータス不一致の脆弱性が存在します。この問題は、ステータス処理を改善することで解決されました。

    CVE-ID

    CVE-2015-1102:Kaspersky Lab の Andrey Khudyakov 氏および Maxim Zhuravlev 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:ネットワーク上で特権的な地位を悪用した攻撃者により、ユーザトラフィックを任意のホストにリダイレクトされる可能性がある。

    説明:iOS で ICMP リダイレクトがデフォルトで有効になっていました。この問題は、ICMP リダイレクトを無効にすることで解決されました。

    CVE-ID

    CVE-2015-1103:Zimperium Mobile Security Labs

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:リモートの攻撃者にネットワークフィルタを回避される可能性がある。

    説明:リモートネットワークインターフェイスからの一部の IPv6 パケットが、システムでローカルパケットとして処理される場合があります。この問題は、これらのパケットを拒否することで解決されました。

    CVE-ID

    CVE-2015-1104:Google Security Team の Stephen Roettger 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:リモートの攻撃者から、サービス運用妨害を受ける可能性がある。

    説明:TCP の out of band データの処理に、ステータス不一致の脆弱性が存在します。この問題はステータス管理を改善したことで解消されました。

    CVE-ID

    CVE-2015-1105:Sandstorm.io の Kenton Varda 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意を持って作成された構成ファイルを処理すると、アプリケーションが突然終了する可能性がある。

    説明:構成プロファイルの処理に、メモリ破損の脆弱性が存在します。この問題は、配列境界チェック機能を改善することで解決されました。

    CVE-ID

    CVE-2015-1118 : FireEye, Inc. の Zhaofeng Chen 氏、Hui Xue 氏、Yulong Zhang 氏、および Tao Wei 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:Podcast アセットのダウンロード時に、不要な情報が外部サーバに送信される可能性がある。

    説明:ユーザが購読している Podcast のアセットをダウンロードする際に、一意の識別子が外部のサーバに送信されていました。この問題は、これらの識別子を削除することで解決されました。

    CVE-ID

    CVE-2015-1110:Alex Selivanov 氏

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:他社製の App にハードウェアの識別子を取得される可能性がある。

    説明:他社製 App のサンドボックスに情報漏洩の脆弱性が存在します。この問題は、サンドボックスプロファイルを改善することで解決されました。

    CVE-ID

    CVE-2015-1114

  • Apple TV

    対象:Apple TV (第 3 世代) 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。

    説明:WebKit にメモリ破損の脆弱性が複数存在します。この問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-1068 : Apple

    CVE-2015-1069:HP の Zero Day Initiative に協力する lokihardt@ASRT

    CVE-2015-1070 : Apple

    CVE-2015-1071 : Apple

    CVE-2015-1072

    CVE-2015-1073 : Apple

    CVE-2015-1074 : Apple

    CVE-2015-1076

    CVE-2015-1077 : Apple

    CVE-2015-1078 : Apple

    CVE-2015-1079 : Apple

    CVE-2015-1080 : Apple

    CVE-2015-1081 : Apple

    CVE-2015-1082 : Apple

    CVE-2015-1083 : Apple

    CVE-2015-1119 : セゲド大学/Samsung Electronics の Renata Hodovan 氏

    CVE-2015-1120:Apple

    CVE-2015-1121:Apple

    CVE-2015-1122:Apple

    CVE-2015-1123:Google Inc. の Randy Luecke 氏および Anoop Menon 氏

    CVE-2015-1124:Apple

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: