Apple TV 7.2.1의 보안 콘텐츠에 관하여
본 문서에서는 Apple TV 7.2.1의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.
Apple TV 7.2.1
bootp
대상: Apple TV (3rd generation)
영향: 장비가 이전에 액세스한 네트워크가 악성 Wi-Fi 네트워크에 노출될 수 있음
설명: Wi-Fi 네트워크에 연결할 때 iOS에서 DNAv4 프로토콜을 통해 이전에 접근한 네트워크의 MAC 주소를 브로드캐스트할 수 있습니다. 이 문제는 암호화되지 않은 Wi-Fi 네트워크의 DNAv4를 비활성화하여 해결되었습니다.
CVE-ID
CVE-2015-3778: University of Oxford의 Oxford Internet Institute 소속 Piers O'Hanlon(EPSRC Being There 프로젝트)
CloudKit
대상: Apple TV (3rd generation)
영향: 악성 응용 프로그램이 이전에 로그인한 사용자의 iCloud 사용자 기록에 접근할 수 있음
설명: 사용자가 로그아웃할 때 CloudKit에서 상태 불일치가 발생합니다. 이 문제는 향상된 상태 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-3782: University of Toronto의 Deepkanwal Plaha
CFPreferences
대상: Apple TV (3rd generation)
영향: 악성 App이 다른 App의 관리되는 환경 설정을 읽을 수 있음
설명: 타사 App 샌드 박스에서 문제가 발생합니다. 이 문제는 타사 샌드 박스 프로파일을 개선하여 해결되었습니다.
CVE-ID
CVE-2015-3793: Appthority Mobility Threat 팀의 Andreas Weinlein
코드 서명
대상: Apple TV (3rd generation)
영향: 악성 응용 프로그램이 서명되지 않은 코드를 실행할 수 있음
설명: 특별하게 제작된 실행 파일에서 서명된 코드에 서명되지 않은 코드가 추가되도록 허용하는 문제가 발생합니다. 이 문제는 향상된 코드 서명 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-3806: TaiG Jailbreak 팀
코드 서명
대상: Apple TV (3rd generation)
영향: 특별하게 제작된 실행 파일이 서명되지 않은 악성 코드를 실행시킬 수 있음
설명: 서명되지 않은 코드가 실행되게 할 수 있는 멀티 아키텍처 실행 파일을 평가하는 방식에서 문제가 발생합니다. 이 문제는 향상된 실행 파일 검증을 통해 해결되었습니다.
CVE-ID
CVE-2015-3803: TaiG Jailbreak 팀
코드 서명
대상: Apple TV (3rd generation)
영향: 로컬 사용자가 서명되지 않은 코드를 실행할 수 있음
설명: Mach-O 파일 처리 시 확인 문제가 발생합니다. 이 문제는 검사를 추가하여 해결되었습니다.
CVE-ID
CVE-2015-3802: TaiG Jailbreak 팀
CVE-2015-3805: TaiG Jailbreak 팀
CoreMedia 재생
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: CoreMedia Playback에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5755: John Villamil(@day6reak), Yahoo Pentest 팀
CVE-2015-5761: John Villamil(@day6reak), Yahoo Pentest 팀
DiskImages
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 DMG 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 시스템 권한으로 임의 코드가 실행될 수 있음
설명: 올바르지 않은 DMG 이미지의 구문 분석 시 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-3800: Yahoo Pentest 팀의 Frank Graziano
FontParser
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-3804: Apple
CVE-2015-5756: John Villamil(@day6reak), Yahoo Pentest 팀
CVE-2015-5775: Apple
ImageIO
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 .tiff 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: .tiff 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5758: Apple
ImageIO
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 웹 콘텐츠를 구문 분석하면 프로세스 메모리가 공개될 수 있음
설명: ImageIO에서 PNG 이미지를 처리할 때 메모리 접근이 초기화되지 않는 문제가 발생합니다. 이 문제는 향상된 메모리 초기화 및 PNG 이미지에 대한 추가 검증을 통해 해결되었습니다.
CVE-ID
CVE-2015-5781: Michal Zalewski
ImageIO
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 웹 콘텐츠를 구문 분석하면 프로세스 메모리가 공개될 수 있음
설명: ImageIO에서 TIFF 이미지를 처리할 때 메모리 접근이 초기화되지 않는 문제가 발생합니다. 이 문제는 향상된 메모리 초기화 및 TIFF 이미지에 대한 추가 검증을 통해 해결됩니다.
CVE-ID
CVE-2015-5782: Michal Zalewski
IOKit
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 plist를 구문 분석하면 응용 프로그램이 예기치 않게 종료되거나 시스템 권한으로 임의 코드가 실행될 수 있음
설명: 잘못된 plist 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-3776: Facebook Security의 Teddy Reed, Jinx Germany의 Patrick Stein(@jollyjinx)
IOHIDFamily
대상: Apple TV (3rd generation)
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily에서 버퍼 오버플로우 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5774: TaiG Jailbreak 팀
커널
대상: Apple TV (3rd generation)
영향: 악의적인 응용 프로그램에서 커널 메모리 레이아웃을 확인할 수 있음
설명: mach_port_space_info 인터페이스에서 커널 메모리 레이아웃이 공개될 수 있는 문제가 발생합니다. 이 문제는 mach_port_space_info 인터페이스를 비활성화하여 해결되었습니다.
CVE-ID
CVE-2015-3766: Alibaba Mobile 보안 팀의 Cererdlong, @PanguTeam
커널
대상: Apple TV (3rd generation)
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOKit 함수 처리 시 정수 오버플로우가 발생합니다. 이 문제는 IOKit API 인수에 대한 향상된 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-3768: Ilja van Sprundel
Libc
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 정규 표현식을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: TRE 보관함에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-3796: Google Project Zero의 Ian Beer
CVE-2015-3797: Google Project Zero의 Ian Beer
CVE-2015-3798: Google Project Zero의 Ian Beer
Libinfo
대상: Apple TV (3rd generation)
영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음
설명: AF_INET6 소켓 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5776: Apple
libpthread
대상: Apple TV (3rd generation)
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: syscall 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 잠금 상태 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5757: Qihoo 360의 Lufeng Li
libxml2
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 XML 문서를 구문 분석할 때 사용자 정보가 공개될 수 있음
설명: XML 파일의 구문 분석 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-3807: Michal Zalewski
libxml2
대상: Apple TV (3rd generation)
영향: 2.9.2 이전 버전의 libxml2에서 여러 가지 취약점이 발생하며, 이 중에서 가장 심각한 취약점으로 인해 원격 공격자가 서비스 거부를 일으킬 수 있음
설명: 2.9.2 이전 버전의 libxml2에서 여러 가지 취약점이 발생합니다. 이러한 취약점은 libxml2를 버전 2.9.2로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2012-6685: Google의 Felix Groebert
CVE-2014-0191: Google의 Felix Groebert
CVE-2014-3660: Google의 Felix Groebert
libxpc
대상: Apple TV (3rd generation)
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 잘못된 XPC 메시지 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 개선되었습니다.
CVE-ID
CVE-2015-3795: Mathew Rowley
libxslt
대상: Apple TV (4nd generation)
영향: 악의적으로 제작된 XML을 처리하면 임의 코드가 실행될 수 있음
설명: libxslt에서 유형 혼동 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-7995: puzzor
위치 프레임워크
대상: Apple TV (3rd generation)
영향: 로컬 사용자가 파일 시스템의 보호된 부분을 수정할 수 있음
설명: 기호 링크 문제는 개선된 경로 유효성 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-3759: Alibaba Mobile 보안 팀의 Cererdlong
Office Viewer
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 XML 구문 분석 시 사용자 정보가 공개될 수 있음
설명: XML 구문 분석 시 외부 엔티티 참조 문제가 발생합니다. 이 문제는 향상된 구문 분석을 통해 해결되었습니다.
CVE-ID
CVE-2015-3784: INTEGRITY S.A.의 Bruno Morisson
QL Office
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 Office 문서를 구문 분석하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: Office 문서의 구문 분석 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5773: Apple
Sandbox_profiles
대상: Apple TV (3rd generation)
영향: 악성 App이 다른 App의 관리되는 환경 설정을 읽을 수 있음
설명: 타사 App 샌드 박스에서 문제가 발생합니다. 이 문제는 타사 샌드 박스 프로파일을 개선하여 해결되었습니다.
CVE-ID
CVE-2015-5749: Appthority Mobility Threat 팀의 Andreas Weinlein
WebKit
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-3730: Apple
CVE-2015-3731: Apple
CVE-2015-3732: Apple
CVE-2015-3733: Apple
CVE-2015-3734: Apple
CVE-2015-3735: Apple
CVE-2015-3736: Apple
CVE-2015-3737: Apple
CVE-2015-3738: Apple
CVE-2015-3739: Apple
CVE-2015-3740: Apple
CVE-2015-3741: Apple
CVE-2015-3742: Apple
CVE-2015-3743: Apple
CVE-2015-3744: Apple
CVE-2015-3745: Apple
CVE-2015-3746: Apple
CVE-2015-3747: Apple
CVE-2015-3748: Apple
CVE-2015-3749: Apple
WebKit
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 웹 콘텐츠로 인해 이미지 데이터가 출처 간에 이탈될 수 있음
설명: data:image 리소스로 리디렉션된 URL을 통해 가져온 이미지가 출처 간에 이탈되었을 수 있습니다. 이 문제는 향상된 캔버스 오점 추적을 통해 해결되었습니다.
CVE-ID
CVE-2015-3753: Adobe의 Antonio Sanso 및 Damien Antipa
WebKit
대상: Apple TV (3rd generation)
영향: 악의적으로 제작된 웹 콘텐츠로 인해 HSTS(HTTP Strict Transport Security) 하에서 일반 텍스트 요청이 출처로 트리거될 수 있음
설명: 콘텐츠 보안 정책 보고서 요청이 HSTS(HTTP Strict Transport Security)를 준수하지 않을 수 있는 문제가 발생합니다. 이 문제는 CSP에 HSTS를 적용하여 해결되었습니다.
CVE-ID
CVE-2015-3750: Muneaki Nishimura(nishimunea)
WebKit
대상: Apple TV (3rd generation)
영향: 콘텐츠 보안 정책 보고서 요청으로 인해 쿠키가 유출될 수 있음
설명: 콘텐츠 보안 정책 보고서 요청에 쿠키를 추가하는 방식에서 두 가지 문제가 발행합니다. 쿠키가 표준을 위반하여 출처 간 보고서 요청으로 전송됩니다. 일반 브라우징 중에 설정된 쿠키가 개인정보 보호 브라우징 시 전송됩니다. 이 문제는 향상된 쿠키 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-3752: Muneaki Nishimura(nishimunea)
WebKit
대상: Apple TV (3rd generation)
영향: 이미지 로드가 웹 사이트의 콘텐츠 보안 정책 지침을 위반할 수 있음
설명: 비디오 컨트롤이 있는 웹 사이트를 처리하면 웹 사이트의 콘텐츠 보안 정책 지침을 위반하여 대상체 요소에 중첩된 이미지를 로드할 수 있는 문제가 발생합니다. 이 문제는 향상된 콘텐츠 보안 정책 실행을 통해 해결되었습니다.
CVE-ID
CVE-2015-3751: Muneaki Nishimura(nishimunea)
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.