이 문서는 아카이브 처리되었으며 Apple은 더 이상 이 문서를 업데이트하지 않습니다.

Apple TV 소프트웨어 업데이트 4.4의 보안 콘텐츠에 관하여

이 문서에서는 Apple TV 소프트웨어 업데이트 4.4의 보안 콘텐츠에 관해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

Apple TV 소프트웨어 업데이트 4.4

  • Apple TV

    대상: Apple TV 4.0~4.3

    영향: 권한 있는 네트워크 위치에 있는 공격자가 사용자 자격 증명 또는 기타 민감한 정보를 가로챌 수 있음

    설명: DigiNotar가 운영하는 여러 인증 기관에서 사기성 인증서가 발급되었습니다. 이 문제는 신뢰할 수 있는 루트 인증서 목록과 EV(확장형 유효성 확인) 인증 기관 목록에서 DigiNotar를 제거하고 다른 기관에서 발급한 인증서를 포함하여 DigiNotar의 인증서를 신뢰하지 않도록 기본 시스템 신뢰 설정을 구성하여 해결되었습니다.

  • Apple TV

    대상: Apple TV 4.0~4.3

    영향: 공격이 발전함에 따라 MD5 해시를 사용하는 X.509 인증서 지원 시 사용자가 스푸핑 및 정보 공개에 노출될 수 있음

    설명: MD5 해시 알고리즘을 사용하여 서명된 인증서가 iOS에 의해 수락되었습니다. 이 알고리즘에는 알려진 암호화 취약점이 있습니다. 추가 연구 또는 잘못 구성된 인증 기관이 시스템에서 신뢰하는 공격자가 제어하는 값으로 X.509 인증서를 생성할 수 있었을 것이며, 이로 인해 X.509 기반 프로토콜이 스푸핑, 중간자 공격 및 정보 공개에 노출되었을 것입니다. 이 업데이트는 신뢰할 수 있는 루트 인증서 이외의 용도로 MD5 해시를 사용하는 X.509 인증서에 대한 지원을 비활성화합니다.

    CVE-ID

    CVE-2011-3427

  • Apple TV

    대상: Apple TV 4.0~4.3

    영향: 공격자가 SSL 연결의 일부를 암호화 해제할 수 있음

    설명: SSLv3 및 SSL의 TLS 1.0 버전만 지원되었습니다. 이러한 버전에서는 블록 암호화를 사용할 때 프로토콜 취약점이 발생할 수 있습니다. 중간자 공격자가 유효하지 않은 데이터를 삽입하여 연결이 끊어졌지만 이전 데이터에 대한 일부 정보가 노츨되었을 수 있습니다. 공격자가 동일한 연결을 반복적으로 시도했다면 결국 전송되는 데이터(예: 암호)의 암호화를 해제할 수 있었을 것입니다. 이 문제는 TLS 1.2에 대한 지원을 추가하여 해결되었습니다.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    대상: Apple TV 4.0~4.3

    영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: libTIFF에서 CCITT Group 4로 인코딩된 TIFF 이미지를 처리할 때 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-0192: Apple

  • Apple TV

    대상: Apple TV 4.0~4.3

    영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: ImageIO에서 CCITT Group 4로 인코딩된 TIFF 이미지를 처리할 때 힙 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-0241: Tessi Technologies의 Cyril CATTIAUX

  • Apple TV

    대상: Apple TV 4.0~4.3

    영향: 원격 공격자가 기기 재설정을 야기할 수 있음

    설명: 커널이 불완전한 TCP 연결에서 메모리를 즉시 회수하지 못했습니다. iOS 기기에서 청취 서비스에 연결할 수 있는 공격자가 시스템 리소스를 소모시킬 수 있습니다.

    CVE-ID

    CVE-2011-3259: Topicus I&I의 Wouter van der Veer, Josh Enders

  • Apple TV

    대상: Apple TV 4.0~4.3

    영향: 권한 있는 네트워크 위치에 있는 공격자가 예기치 않은 응용 프로그램 종료 또는 임의 코드 실행을 야기할 수 있음

    설명: libxml에서 XML 데이터를 처리할 때 1바이트 힙 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-0216: Google Security Team의 Billy Rios

  • Apple TV

    대상: Apple TV 4.0~4.3

    영향: 권한 있는 네트워크 위치에 있는 공격자가 예기치 않은 응용 프로그램 종료 또는 임의 코드 실행을 야기할 수 있음

    설명: JavaScriptCore에 메모리 손상 문제가 존재합니다.

    CVE-ID

    CVE-2011-3232: OUSPG의 Aki Helin

중요: 타사 웹 사이트 및 타사 제품에 대한 내용은 정보 확인 용도로만 제공되는 것으로 Apple이 해당 제품을 권장하거나 그 성능을 보증하는 것은 아닙니다. Apple은 타사 웹 사이트에 나와 있는 정보 또는 제품의 사용이나 선택, 성능과 관련하여 어떠한 책임도 지지 않습니다. 단지 사용자의 편의를 위해서만 이러한 정보를 제공합니다. Apple은 이러한 사이트에 나와 있는 정보를 확인하지 않았으며 해당 정보의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷상의 정보 또는 제품을 사용하는 데에는 위험이 따르며 Apple은 이와 관련하여 어떠한 책임도 지지 않습니다. 타사 사이트는 Apple과 관련이 없는 별개의 사이트이며 해당 웹 사이트에서 다루는 콘텐츠와 관련해 Apple은 아무런 권한도 행사할 수 없다는 점을 이해해 주시기 바랍니다. 자세한 내용은 협력업체에 문의하십시오.

게시일: