Over de beveiligingsinhoud van Apple TV 6.0
Lees hier meer over de beveiligingsinhoud van Apple TV 6.0.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
Apple TV 6.0
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: het bekijken van een kwaadaardig pdf-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van JBIG2-gecodeerde gegevens in pdf-bestanden. Dit probleem is verholpen door middel van extra bounds checking.
CVE-ID
CVE-2013-1025: Felix Groebert van het Google Security Team
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: het afspelen van een kwaadaardig filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van Sorenson-gecodeerde filmbestanden. Dit probleem is verholpen dankzij verbeterde bounds checking.
CVE-ID
CVE-2013-1019: Tom Gallagher (Microsoft) en Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen
Beschrijving: TrustWave, een certificaatautoriteit voor vertrouwde roots, heeft een certificaat van een subcertificaatautoriteit voor een vertrouwd ankerpunt uitgereikt en vervolgens herroepen. Deze subcertificaatautoriteit heeft de onderschepping van communicatie onderschept die werd beveiligd via Transport Layer Security (TLS). Deze update heeft het desbetreffende certificaat van de subcertificaatautoriteit toegevoegd aan de lijst met niet-vertrouwde certificaten in OS X.
CVE-ID
CVE-2013-5134
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: een aanvaller, die willekeurige code uitvoert op een apparaat, kan de uitvoering van code forceren door het apparaat opnieuw op te starten
Beschrijving: er waren meerdere bufferoverlopen bij de functie openSharedCacheFile() van dyld. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2013-3950: Stefan Esser
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: het bekijken van een kwaadaardig pdf-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van JPEG2000-gecodeerde gegevens in pdf-bestanden. Dit probleem is verholpen door middel van extra bounds checking.
CVE-ID
CVE-2013-1026: Felix Groebert van het Google Security Team
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: een kwaadaardig lokaal programma kan zorgen voor een onverwachte beëindiging van het systeem
Beschrijving: er was een null pointer-dereferentie in IOCatalogue. Het probleem is verholpen door een extra controle van het type.
CVE-ID
CVE-2013-5138: Will Estes
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de kernel
Beschrijving: er was een arraytoegang buiten het bereik in het besturingsbestand IOSerialFamily. Dit probleem is verholpen door middel van extra bounds checking.
CVE-ID
CVE-2013-5139: @dent1zt
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: een externe aanvaller kan ervoor zorgen dat een apparaat onverwacht opnieuw start
Beschrijving: het versturen van een ongeldig pakketfragment naar een apparaat kan ervoor zorgen dat een kernelbevestiging wordt geactiveerd, waardoor het apparaat opnieuw wordt gestart. Het probleem is verholpen door een extra validatie van pakketfragmenten.
CVE-ID
CVE-2013-5140: Joonas Kuorilehto van Codenomicon, een anonieme onderzoeker werkzaam bij CERT-FI, Antti Levomäki en Lauri Virtanen van Vulnerability Analysis Group, Stonesoft
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: een aanvaller in een lokaal netwerk kan een weigering van service veroorzaken
Beschrijving: een aanvaller in een lokaal netwerk kan speciaal gemaakte IPv6 ICMP-pakketten verzenden en voor een hoge CPU-belasting zorgen. Het probleem is verholpen door de oplegging van een limiet voor ICMP-pakketten voordat de controlesom wordt gecontroleerd.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: kernelstapelgeheugen kan worden vrijgegeven aan lokale gebruikers
Beschrijving: er was een probleem met de vrijgave van informatie bij de msgctl en segctl API’s. Dit probleem is verholpen door de initialisatie van gegevensstructuren die worden geretourneerd door de kernel.
CVE-ID
CVE-2013-5142: Kenzley Alphonse van Kenx Technology, Inc
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: onbevoegde processen kunnen toegang krijgen tot de inhoud van het kernelgeheugen, hetgeen kan leiden tot het wijzigen van gebruikersrechten
Beschrijving: er was een probleem met de vrijgave van informatie bij de mach_port_space_info API. Dit probleem is verholpen door de initialisatie van het veld iin_collision in structuren die worden geretourneerd door de kernel.
CVE-ID
CVE-2013-3953: Stefan Esser
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: onbevoegde processen kunnen zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code in de kernel
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van argumenten bij de posix_spawn API. Dit probleem is verholpen door middel van extra bounds checking.
CVE-ID
CVE-2013-3954: Stefan Esser
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: een onbevoegd proces kan de set geladen kernelextensies wijzigen
Beschrijving: er was een probleem met de verwerking van IPC-berichten van niet-geïdentificeerde zenders in kextd. Dit probleem is verholpen door extra identiteitscontroles toe te voegen.
CVE-ID
CVE-2013-5145: ‘Rainbow PRISM’
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: het bekijken van een kwaaaardige webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libxml. Deze problemen zijn verholpen door libxml bij te werken naar versie 2.9.0.
CVE-ID
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: het bekijken van een kwaaaardige webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libxslt. Deze problemen zijn verholpen door libxslt bij te werken naar versie 1.1.28.
CVE-ID
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Kai Lu van Fortinet’s FortiGuard Labs, Nicolas Gregoire
Apple TV
Beschikbaar voor: Apple TV 2e generatie en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2013-0879: Atte Kettunen van OUSPG
CVE-2013-0991: Jay Civelli van het Chromium development community
CVE-2013-0992: Google Chrome Security Team (Martin Barbella)
CVE-2013-0993: Google Chrome Security Team (Inferno)
CVE-2013-0994: David German van Google
CVE-2013-0995: Google Chrome Security Team (Inferno)
CVE-2013-0996: Google Chrome Security Team (Inferno)
CVE-2013-0997: Vitaliy Toropov in samenwerking met het Zero Day Initiative van HP
CVE-2013-0998: pa_kt in samenwerking met het Zero Day Initiative van HP
CVE-2013-0999: pa_kt in samenwerking met het Zero Day Initiative van HP
CVE-2013-1000: Fermin J. Serna van het Google Security Team
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Google Chrome Security Team (Inferno)
CVE-2013-1004: Google Chrome Security Team (Martin Barbella)
CVE-2013-1005: Google Chrome Security Team (Martin Barbella)
CVE-2013-1006: Google Chrome Security Team (Martin Barbella)
CVE-2013-1007: Google Chrome Security Team (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1011
CVE-2013-1037: Google Chrome Security Team
CVE-2013-1038: Google Chrome Security Team
CVE-2013-1039: own-hero Research in samenwerking met iDefense VCP
CVE-2013-1040: Google Chrome Security Team
CVE-2013-1041: Google Chrome Security Team
CVE-2013-1042: Google Chrome Security Team
CVE-2013-1043: Google Chrome Security Team
CVE-2013-1044: Apple
CVE-2013-1045: Google Chrome Security Team
CVE-2013-1046: Google Chrome Security Team
CVE-2013-1047: miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: Google Chrome Security Team
CVE-2013-5126: Apple
CVE-2013-5127: Google Chrome Security Team
CVE-2013-5128: Apple
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.