Over de beveiligingsinhoud van Apple TV 7.0.3

In dit document wordt de beveiligingsinhoud van Apple TV 7.0.3 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Apple TV 7.0.3

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een kwaadwillig vervaardigd afc-commando kan toegang geven tot beveiligde onderdelen van het bestandssysteem

    Beschrijving: er was een kwetsbaarheid in het symbolische koppelingsmechanisme van afc. Dit probleem is verholpen door extra controles van het pad toe te voegen.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano van Binamuse VRT, via het iSIGHT Partners GVP Program

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een lokale gebruiker kan niet-ondertekende code uitvoeren

    Beschrijving: er was een probleem met het statusbeheer bij de verwerking van in Mach-O uitvoerbare bestanden met overlappende segmenten. Dit probleem is verholpen door een verbeterde validatie van segmentgroottes.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4483: Apple

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van DFONT-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah in samenwerking met het Zero Day Initiative van HP

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: het bekijken van een kwaadwillig vervaardigd XML-bestand kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code

    Beschrijving: er was een bufferoverloop in de XML-parser. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4485: Apple

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van bronlijsten door IOAcceleratorFamily. Dit probleem is verholpen door onnodige code te verwijderen.

    CVE-ID

    CVE-2014-4486: Ian Beer van Google Project Zero

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een bufferoverloop in IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van de grootte.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van metagegevens van bronwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van metagegevens.

    CVE-ID

    CVE-2014-4488: Apple

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van activiteitenwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2014-4489: @beist

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: kwaadwillig vervaardigde of aangetaste iOS-apps kunnen adressen bepalen in de kernel

    Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van API’s gerelateerd aan kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem in het subsysteem van het gedeelde geheugen van de kernel waardoor een aanvaller kon schrijven in geheugen dat alleen mocht worden gelezen. Dit probleem is verholpen door een strengere controle van de bevoegdheden van gedeeld geheugen.

    CVE-ID

    CVE-2014-4495: Ian Beer van Google Project Zero

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: kwaadwillig vervaardigde of aangetaste iOS-apps kunnen adressen bepalen in de kernel

    Beschrijving: de kernelinterface mach_port_kobject heeft kerneladressen en de waarde van heap-permutatie onthuld, wat kan bijdragen aan het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit is verholpen door de interface mach_port_kobject in productieconfiguraties uit te schakelen.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een kwaadaardig programma in een sandbox kan de networkd daemon in gevaar brengen

    Beschrijving: er waren meerdere problemen met verwarring van het type bij de verwerking van de communicatie tussen processen door networkd. Door het versturen van een kwaadwillig opgemaakt bericht naar networkd kan willekeurige code als het networkd-proces worden uitgevoerd. Het probleem is verholpen door een extra controle van het type.

    CVE-ID

    CVE-2014-4492: Ian Beer van Google Project Zero

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: opmaaksjablonen worden cross-origin geladen, wat tot de exfiltratie van gegevens kan leiden

    Beschrijving: een SVG die in een img-element wordt geladen, kan een cross-origin CSS-bestand laden. Dit probleem is verholpen door een verbeterde blokkering van externe CSS-referenties in SVG’s.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf van iSEC Partners

  • Apple TV

    Beschikbaar voor: Apple TV 3e generatie en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475 : Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP

    CVE-2014-4479: Apple

  • Apple TV

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: de libgssapi-bibliotheek in Kerberos heeft een context-token met een zwevende aanwijzer als resultaat gegeven. Dit probleem is verholpen door het statusbeheer te verbeteren.

    CVE-ID

    CVE-2014-5352

  •  

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: