Om sikkerhetsinnholdet i Apple TV 7.0.3
I dette dokumentet beskrives sikkerhetsinnholdet i Apple TV 7.0.3.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.
Apple TV 7.0.3
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: En skadelig afc-kommando kan gi tilgang til beskyttede deler av filsystemet
Beskrivelse: Det var en sårbarhet i den symbolske koblingsmekanismen til afc. Problemet ble løst ved å legge til flere banekontroller.
CVE-ID
CVE-2014-4480: TaiG Jailbreak Team
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var et problem med heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano fra Binamuse VRT via iSight Partners GVP-programmet
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: En lokal bruker kan være i stand til å kjøre usignert kode
Beskrivelse: Det var et problem med tilstandsadministrering i håndteringen av kjørbare Mach-O filer med overlappende segmenter. Problemet ble løst gjennom forbedret validering av segmentstørrelser
CVE-ID
CVE-2014-4455: TaiG Jailbreak Team
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4483: Apple
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Behandling av en skadelig .dfont-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt minne i håndteringen av .dfont-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4484: Gaurav Baruah i samarbeid med HPs Zero Day Initiative
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Visning av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i XML-parseren. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4485: Apple
Apple TV
CVE-2014-4486: Ian Beer fra Google Project Zero
Impact: A malicious application may be able to execute arbitrary code with system privileges
Description: A null pointer dereference existed in IOAcceleratorFamily's handling of resource lists. This issue was addressed by removing unneeded code.
CVE-ID
CVE-2014-4486 : Ian Beer of Google Project Zero
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en bufferoverflyt i IOHIDFamily. Problemet ble løst gjennom forbedret validering av størrelse.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i IOHIDFamilys håndtering av ressurskø-metadata. Problemet ble løst gjennom forbedret validering av metadata.
CVE-ID
CVE-2014-4488: Apple
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en dereferanse for en nullpeker i IOHIDFamilys håndtering av hendelseskøer. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2014-4489: @beist
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Skadelige eller kompromitterte iOS-apper kan være i stand til å fastslå adresser i kjernen
Beskrivelse: Det var et problem med informasjonsavsløring i håndteringen av API-er knyttet til kjerneutvidelser. Svar som inneholdt en OSBundleMachOHeaders-nøkkel, kan ha inkludert kjerneadresser, noe som kan bidra til omgåelse av beskyttelsen som et randomisert adresseområdeoppsett gir. Dette problemet ble løst ved å fjerne adressene før de ble returnert.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem i delsystemet for delt kjerneminne som gjorde at en angriper kunne skrive til minne som skulle være skrivebeskyttet. Problemet ble løst gjennom strengere kontroll av rettigheter til delt minne.
CVE-ID
CVE-2014-4495: Ian Beer fra Google Project Zero
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Skadelige eller kompromitterte iOS-apper kan være i stand til å fastslå adresser i kjernen
Beskrivelse: mach_port_kobject-kjernegrensesnittet lekket kjerneadresser og heap-permutasjonsverdi, noe som kan hjelpe til med å omgå randomiseringsbeskyttelse for adresseromsoppsett. Dette ble løst ved å deaktivere mach_port_kobject-grensesnittet i produksjonskonfigurasjoner.
CVE-ID
CVE-2014-4496: TaiG Jailbreak Team
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: En skadelig sandkasseapp kan kompromittere nettverksdemonen
Beskrivelse: Det var flere problemer med typeforveksling i networkds behandling av kommunikasjon mellom prosesser. Ved å sende en skadelig formatert melding til networkd kan det være mulig å kjøre vilkårlig kode som networkd-prosessen. Problemet ble løst gjennom ytterligere typekontroll.
CVE-ID
CVE-2014-4492: Ian Beer fra Google Project Zero
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Stilark lastes fra flere opphav, noe som kan åpne for dataeksfiltrering
Beskrivelse: En SVG lastet inn i et img-element kunne laste en CSS-fil på tvers av opphav. Problemet ble løst gjennom forbedret blokkering av eksterne CSS-referanser i SVG-er.
CVE-ID
CVE-2014-4465: Rennie deGraaf fra iSEC Partners
Apple TV
Tilgjengelig for: Apple TV 3. generasjon og nyere
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT i samarbeid med HPs Zero Day Initiative
CVE-2014-4479: Apple
Apple TV
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Kerberos libgssapi -biblioteket returnerte et kontekstsymbol med en dinglende peker. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2014-5352
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.