Apple TV 7의 보안 콘텐츠에 관하여
이 문서에서는 Apple TV 7 버전의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.
Apple TV 7
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 공격자가 Wi-Fi 자격 증명을 받을 수 있음
설명: 액세스 포인트에서 더욱 강력한 인증 방법을 지원하더라도 공격자가 Wi-Fi 액세스 포인트를 가장하여, LEAP로 인증을 제공하고, MS-CHAPv1 해시를 차단하여 파생된 자격 증명을 사용해 의도한 액세스 포인트에 대해 인증할 수 있었습니다. 이 문제는 LEAP에 대한 지원을 제거하여 해결되었습니다.
CVE-ID
CVE-2014-4364: Universiteit Hasselt의 Pieter Robyns, Bram Bonne, Peter Quax 및 Wim Lamotte
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 기기에 접근할 수 있는 공격자가 로그의 중요한 사용자 정보에 접근할 수 있음
설명: 중요한 사용자 정보가 기록되었습니다. 이 문제는 정보를 기록하는 양을 줄여 해결되었습니다.
CVE-ID
CVE-2014-4357: OP-Pohjola Group의 Heli Myllykoski
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 기기가 최신 상태가 아닌 경우에도 최신 상태인 것처럼 인식하도록 만들 수 있음
설명: 업데이트 확인 응답을 처리할 때 유효성 확인 문제가 발생했습니다. 미래의 날짜로 설정된 Last-Modified 응답 헤더의 스푸핑된 날짜가 후속 업데이트 요청 시 If-Modified-Since 확인에 사용되었습니다. 이 문제는 Last-Modified 헤더의 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4383: DinoSec의 Raul Siles
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: PDF 파일을 처리할 때 정수 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4377: iSIGHT Partners GVP Program에 참여 중인 Binamuse VRT의 Felipe Andres Manzano
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 정보가 공개될 수 있음
설명: PDF 파일을 처리할 때 범위를 벗어난 메모리 읽기 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4378: iSIGHT Partners GVP Program에 참여 중인 Binamuse VRT의 Felipe Andres Manzano
Apple TV
대상: Apple TV 3세대 및 이후 모델영향: 응용 프로그램이 예기치 않은 시스템 종료를 일으킬 수 있음설명: IOAcceleratorFamily API 인수를 처리할 때 Null 포인터 역참조가 발생했습니다. 이 문제는 IOAcceleratorFamily API 인수에 대한 향상된 유효성 확인을 통해 해결되었습니다.CVE-IDCVE-2014-4369: Alibaba Mobile 보안 팀의 Sarah aka winocm 및 Cererdlong
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 기기가 예기치 않게 재시동될 수 있음
설명: IntelAccelerator 드라이버에서 NULL 포인터 역참조가 발생했습니다. 이 문제는 향상된 오류 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-4373: Venustech Adlab의 cunzhang
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 커널 ASLR(Address Space Layout Randomization)을 우회하는 데 사용될 수 있는 커널 포인터를 읽을 수 있음
설명: IOHIDFamily 기능을 처리할 때 범위를 벗어난 읽기 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4379: Google Project Zero의 Ian Beer
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily가 키 매핑 속성을 처리할 때 힙 버퍼 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4404: Google Project Zero의 Ian Beer
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily가 키 매핑 속성을 처리할 때 Null 포인터 역참조가 발생했습니다. 이 문제는 IOHIDFamily 키 매핑 속성의 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4405: Google Project Zero의 Ian Beer
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily 커널 확장에서 범위를 벗어난 쓰기 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4380: Venustech Adlab의 cunzhang
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 커널 메모리에서 초기화되지 않은 데이터를 읽을 수 있음
설명: IOKit 함수를 처리할 때 초기화되지 않은 메모리 접근 문제가 발생했습니다. 이 문제는 향상된 메모리 초기화를 통해 해결되었습니다.
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IODataQueue 오브젝트의 특정 메타데이터 필드를 처리할 때 유효성 확인 문제가 발생했습니다. 이 문제는 향상된 메타데이터 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4418: Google Project Zero의 Ian Beer
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IODataQueue 오브젝트의 특정 메타데이터 필드를 처리할 때 유효성 확인 문제가 발생했습니다. 이 문제는 향상된 메타데이터 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOKit 함수를 처리할 때 정수 오버플로우가 발생했습니다. 이 문제는 향상된 IOKit API 인수 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4389: Google Project Zero의 Ian Beer
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 로컬 사용자가 커널 메모리 레이아웃을 확인할 수 있음
설명: 네트워크 통계 인터페이스에서 초기화되지 않은 여러 가지 메모리 문제가 발생하여 커널 메모리 콘텐츠가 공개되었습니다. 이 문제는 추가적인 메모리 초기화를 통해 해결되었습니다.
CVE-ID
CVE-2014-4371: Google Security Team의 Fermin J. Serna
CVE-2014-4419: Google Security Team의 Fermin J. Serna
CVE-2014-4420: Google Security Team의 Fermin J. Serna
CVE-2014-4421: Google Security Team의 Fermin J. Serna
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 사람이 서비스 거부를 야기할 수 있음
설명: IPv6 패킷을 처리할 때 경합 상태 문제가 발생했습니다. 이 문제는 향상된 잠금 상태 확인을 통해 해결되었습니다.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 로컬 사용자가 커널에서 예기치 않은 시스템 종료를 일으키거나 임의 코드를 실행할 수 있음
설명: Mach 포트를 처리할 때 Double free 문제가 발생했습니다. 이 문제는 향상된 Mach 포트 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4375
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 로컬 사용자가 커널에서 예기치 않은 시스템 종료를 일으키거나 임의 코드를 실행할 수 있음
설명: rt_setgate에 범위를 벗어난 읽기 문제가 발생했습니다. 이 문제로 인해 메모리가 공개되거나 손상될 수 있지만 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4408
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 일부 커널 보안 강화 조치를 우회할 수 있음
설명: 일부 커널 보안 강화 조치에 사용된 '초기' 난수 생성기가 암호로 보호되지 않아서 난수 생성기의 출력 중 일부가 사용자 공간에 노출되어 보안 강화 조치를 우회할 수 있었습니다. 이 문제는 난수 생성기를 암호로 보호된 알고리즘으로 바꾸고 16바이트 시드를 사용하여 해결되었습니다.
CVE-ID
CVE-2014-4422: Azimuth Security의 Tarjei Mandt
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 악성 응용 프로그램이 루트 권한을 사용하여 임의 코드를 실행할 수 있음
설명: Libnotify에서 범위를 벗어난 쓰기 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4381: Google Project Zero의 Ian Beer
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 로컬 사용자가 임의 파일에 대한 권한을 변경할 수 있음
설명: 파일에 대한 권한을 변경하는 중에 syslogd가 기호 링크를 따랐습니다. 이 문제는 향상된 심볼릭 링크 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-4372: GTISC(Georgia Tech Information Security Center)의 Tielei Wang 및 장영진
Apple TV
대상: Apple TV 3세대 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음
설명: WebKit에서 여러 가지 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-6663: OUSPG의 Atte Kettunen
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Google의 Eric Seidel
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.