Om sikkerhetsinnholdet i Apple TV 6.1

Dette dokumentet beskriver sikkerhetsinnholdet i Apple TV 6.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Apple TV 6.1

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: En angriper med tilgang til en Apple TV kan få tilgang til sensitiv brukerinformasjon fra logger

    Beskrivelse: Sensitiv brukerinformasjon ble logget. Dette problemet ble løst ved å logge mindre informasjon.

    CVE-ID

    CVE-2014-1279 : David Schuetz som arbeider hos Intrepidus Group

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: Utløpsdatoer for profiler ble ikke håndhevet

    Beskrivelse: Utløpsdatoer for mobilkonfigurasjonsprofiler ble ikke riktig evaluert. Dette problemet ble løst gjennom bedre håndtering av konfigurasjonsprofiler.

    CVE-ID

    CVE-2014-1267

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: Et skadelig program kan forårsake uventet avslutning av systemet.

    Beskrivelse: Et problem med tilgjengelig påstand fantes i CoreCaptures håndtering av IOKit API-kall. Problemet ble løst gjennom ekstra validering av inndata fra IOKit.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: En lokal bruker kan kanskje endre tillatelser for vilkårlige filer

    Beskrivelse: CrashHouseKeeping fulgte symbolske koblinger mens filtallatelser ble endret. Dette problemet ble løst ved ikke å følge symbolske koblinger mens filtillatelser blir endret.

    CVE-ID

    CVE-2014-1272: evad3rs

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: Kodesigneringskrav kan bli forbigått

    Beskrivelse: Instruksjoner for flytting av tekst i dynamiske biblioteker kan bli lastet uten validering av kodesignatur. Dette problemet ble løst ved å ignorere instruksjoner for flytting av tekst.

    CVE-ID

    CVE-2014-1273: evad3rs

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av JPEG2000-bilder i PDF-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1275: Felix Groebert fra Google Security Team

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: Visning av en skadelig TIFF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger bufferoverflyt i libtiffs håndtering av TIFF-bilder. Problemet ble løst med ekstra validering av TIFF-bilder.

    CVE-ID

    CVE-2012-2088

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: Visning av en skadelig JPEG-fil kan føre til avsløring av hukommelsesinnhold

    Beskrivelse: Det var et problem med tilgang til uinitialisert hukommelse i libjpegs håndtering av JPEG-markører, som førte til avsløring av hukommelsesinnhold. Dette problemet ble løst med ekstra validering av JPEG-filer.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med hukommelsestilgang utenfor grensene i funksjonen ARM ptmx_get_ioctl. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: En konfigurasjonsprofil kan bli skjult for brukeren

    Beskrivelse: En konfigurasjonsprofil med et langt navn kunne bli lastet inn i enheten men ikke vist i profilgrensesnittet. Problemet ble løst ved forbedret håndtering av profilnavn.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit og Adi Sharabani fra Skycure

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: En person med fysisk tilgang til enheten kan forårsake utføring av vilkårlig kode i kjernemodus

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av USB-meldinger. Dette problemet ble løst med ekstra validering av USB-meldinger.

    CVE-ID

    CVE-2014-1287: Andy Davis fra NCC Group

  • WebKit

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2013-2909: Atte Kettunen fra OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Security Team

    CVE-2013-5196: Google Chrome Security Team

    CVE-2013-5197: Google Chrome Security Team

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome Security Team

    CVE-2013-5228: Keen Team (@K33nTeam) som arbeider ved HPs Zero Day Initiative

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) fra HPs Zero Day Initiative, Google Chrome Security Team

    CVE-2014-1291: Google Chrome Security Team

    CVE-2014-1292: Google Chrome Security Team

    CVE-2014-1293: Google Chrome Security Team

    CVE-2014-1294: Google Chrome Security Team

  • Apple TV

    Tilgjengelig for: Apple TV (2. generasjon og nyere)

    Virkning: Avspilling av en skadelig video kunne føre til at enheten sluttet å svare

    Beskrivelse: Det var et problem med null-dereferanse i håndteringen av MPEG-4-kodede filer. Dette problemet er løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2014-1280: rg0rd

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: