Om sikkerhetsinnholdet i Apple TV 7

I dette dokumentet beskrives sikkerhetsinnholdet i Apple TV 7.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.

Apple TV 7

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En angriper kan skaffe seg wifi-legitimasjon

    Beskrivelse: En angriper kan ha imitert et wifi-tilgangspunkt, tilbudt autentisering via LEAP, brutt MS-CHAPv1-hashen og brukt den avledede legitimasjonen til å autentisere seg på det tiltenkte tilgangspunktet, selv om det støttet sterkere autentiseringsmetoder. Problemet ble løst ved å fjerne støtten for LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax og Wim Lamotte fra Universiteit Hasselt

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En angriper med tilgang til en enhet kan få tilgang til sensitiv brukerinformasjon fra logger

    Beskrivelse: Sensitiv brukerinformasjon ble loggført. Problemet ble løst ved å logge mindre informasjon.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski fra OP-Pohjola Group

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å få en enhet til å tro at den er oppdatert, selv om den ikke er det

    Beskrivelse: Det var et valideringsproblem i håndteringen av svar på oppdateringskontroller. Falske datoer fra Sist endret-svarhoder som var satt til framtidige datoer, ble brukt i Hvis endret etter-kontroller i påfølgende oppdateringsforespørsler. Problemet ble løst gjennom validering av Sist endret-hodet.

    CVE-ID

    CVE-2014-4383: Raul Siles fra DinoSec

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano fra Binamuse VRT i samarbeid med iSIGHT Partners GVP-programmet

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet appavslutning eller informasjonslekkasje

    Beskrivelse: Det var et problem med lesing av minne utenfor området i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano fra Binamuse VRT i samarbeid med iSIGHT Partners GVP-programmet

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere. Virkning: En app kan forårsake uventet systemavslutning. Beskrivelse: Det var en nullpekerreferanse i håndteringen av argumentene til IOAcceleratorFamily API. Dette problemet ble løst gjennom forbedret validering av argumentene til IOAcceleratorFamily API. CVE-IDCVE-2014-4369: Sarah aka winocm og Cererdlong fra Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry added February 3, 2020

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: Enheten kan plutselig startes på nytt

    Beskrivelse: Det var en nullpekerreferanse i IntelAccelerator-driveren. Problemet ble løst gjennom forbedret feilhåndtering.

    CVE-ID

    CVE-2014-4373: cunzhang fra Adlab i Venustech

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å lese kjernepekere, noe som kan brukes til å omgå tilfeldiggjøring av kjernens adresseromlayout

    Beskrivelse: Det var et problem med lesing utenfor området i håndteringen av en IOHIDFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4379: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en heap-bufferoverflyt i håndteringen av egenskaper for tastetilordninger i IOHIDFamily. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4404: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en nullpekerreferanse i håndteringen av egenskaper for tastetilordninger i IOHIDFamily. Problemet ble løst gjennom forbedret validering av IOHIDFamilys tasttilordningsegenskaper.

    CVE-ID

    CVE-2014-4405: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skriving utenfor området i IOHIDFamily-kjerneutvidelsen. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4380: cunzhang fra Adlab ved Venustech

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å lese ikke-initialisert data fra kjerneminnet

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert minne i håndteringen av IOKit-funksjoner. Dette problemet ble løst gjennom forbedret initialisering av minne

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et valideringsproblem med håndteringen av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-4418: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et valideringsproblem med håndteringen av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-4389: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En lokal bruker kan være i stand til å fastslå kjerneminnets layout

    Beskrivelse: Det var flere problemer med ikke-initialisert minne i grensesnittet for nettverksstatistikk, noe som førte til avsløring av innhold i kjerneminnet. Problemet ble løst gjennom ekstra initialisering av minne.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna fra Google Security Team

    CVE-2014-4419: Fermin J. Serna fra Google Security Team

    CVE-2014-4420: Fermin J. Serna fra Google Security Team

    CVE-2014-4421: Fermin J. Serna fra Google Security Team

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En person i en privilegert nettverksposisjon kan forårsake tjenestenekt

    Beskrivelse: Det var et problem med en kappløpstilstand i håndteringen av IPv6-pakker. Problemet ble løst gjennom forbedret kontroll av låsetilstanden.

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller kjøring av vilkårlig kode i kjernen

    Beskrivelse: Det var et problem med dobbel frigivelse i håndteringen av Mach-porter. Problemet ble løst gjennom forbedret validering av Mach-porter.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller kjøring av vilkårlig kode i kjernen

    Beskrivelse: Det var et problem med lesing utenfor området i rt_setgate. Det kan føre til avdekking av minne eller skadet minne. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: Noen herdingstiltak i kjernen kan omgås

    Beskrivelse: Den «tidlige» tilfeldige tallgeneratoren som ble brukt i enkelte herdingstiltak i kjernen, var ikke kryptografisk sikker, og noe av utdataene var eksponert for brukerrommet, slik at herdingstiltakene kunne omgås. Problemet ble løst ved å erstatte den vilkårlige tallgeneratoren med en kryptografisk sikker algoritme og et «frø» på 16 byte.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt fra Azimuth Security

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En skadelig app kan være i stand til å kjøre vilkårlig kode med rotrettigheter

    Beskrivelse: Det var et problem med skriving utenfor området i Libnotify. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4381: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for Apple TV (3. generasjon) og nyere

    Virkning: En lokal bruker kan være i stand til å endre tillatelser for vilkårlige filer

    Beskrivelse: syslogd fulgte symbolske koblinger ved endring av tillatelser for filer. Problemet ble løst gjennom forbedret håndtering av symbolske koblinger.

    CVE-ID

    CVE-2014-4372: Tielei Wang og YeongJin Jang fra Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan forårsake uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var flere problemer med minnekorrumpering i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2013-6663: Atte Kettunen fra OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel fra Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: