Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Apple TV 7.0.3
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een kwaadwillig vervaardigd afc-commando kan toegang geven tot beveiligde onderdelen van het bestandssysteem
Beschrijving: er was een kwetsbaarheid in het symbolische koppelingsmechanisme van afc. Dit probleem is verholpen door extra controles van het pad toe te voegen.
CVE-ID
CVE-2014-4480: TaiG Jailbreak Team
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano van Binamuse VRT, via het iSIGHT Partners GVP Program
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een lokale gebruiker kan niet-ondertekende code uitvoeren
Beschrijving: er was een probleem met het statusbeheer bij de verwerking van in Mach-O uitvoerbare bestanden met overlappende segmenten. Dit probleem is verholpen door een verbeterde validatie van segmentgroottes.
CVE-ID
CVE-2014-4455: TaiG Jailbreak Team
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4483: Apple
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van DFONT-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4484: Gaurav Baruah in samenwerking met het Zero Day Initiative van HP
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: het bekijken van een kwaadwillig vervaardigd XML-bestand kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code
Beschrijving: er was een bufferoverloop in de XML-parser. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4485: Apple
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een null pointer-dereferentie bij de verwerking van bronlijsten door IOAcceleratorFamily. Dit probleem is verholpen door onnodige code te verwijderen.
CVE-ID
CVE-2014-4486: Ian Beer van Google Project Zero
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een bufferoverloop in IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van de grootte.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een validatieprobleem bij de verwerking van metagegevens van bronwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van metagegevens.
CVE-ID
CVE-2014-4488: Apple
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een null pointer-dereferentie bij de verwerking van activiteitenwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie.
CVE-ID
CVE-2014-4489: @beist
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: kwaadwillig vervaardigde of aangetaste iOS-apps kunnen adressen bepalen in de kernel
Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van API’s gerelateerd aan kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem in het subsysteem van het gedeelde geheugen van de kernel waardoor een aanvaller kon schrijven in geheugen dat alleen mocht worden gelezen. Dit probleem is verholpen door een strengere controle van de bevoegdheden van gedeeld geheugen.
CVE-ID
CVE-2014-4495: Ian Beer van Google Project Zero
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: kwaadwillig vervaardigde of aangetaste iOS-apps kunnen adressen bepalen in de kernel
Beschrijving: de kernelinterface mach_port_kobject heeft kerneladressen en de waarde van heap-permutatie onthuld, wat kan bijdragen aan het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit is verholpen door de interface mach_port_kobject in productieconfiguraties uit te schakelen.
CVE-ID
CVE-2014-4496: TaiG Jailbreak Team
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een kwaadaardig programma in een sandbox kan de networkd daemon in gevaar brengen
Beschrijving: er waren meerdere problemen met verwarring van het type bij de verwerking van de communicatie tussen processen door networkd. Door het versturen van een kwaadwillig opgemaakt bericht naar networkd kan willekeurige code als het networkd-proces worden uitgevoerd. Het probleem is verholpen door een extra controle van het type.
CVE-ID
CVE-2014-4492: Ian Beer van Google Project Zero
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: opmaaksjablonen worden cross-origin geladen, wat tot de exfiltratie van gegevens kan leiden
Beschrijving: een SVG die in een img-element wordt geladen, kan een cross-origin CSS-bestand laden. Dit probleem is verholpen door een verbeterde blokkering van externe CSS-referenties in SVG’s.
CVE-ID
CVE-2014-4465: Rennie deGraaf van iSEC Partners
Apple TV
Beschikbaar voor: Apple TV 3e generatie en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475 : Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP
CVE-2014-4479: Apple
Apple TV
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: de libgssapi-bibliotheek in Kerberos heeft een context-token met een zwevende aanwijzer als resultaat gegeven. Dit probleem is verholpen door het statusbeheer te verbeteren.
CVE-ID
CVE-2014-5352