Om sikkerhetsinnholdet i Apple TV 6.1.1

Dette dokumentet beskriver sikkerhetsinnholdet i Apple TV 6.1.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Apple TV 6.1.1

  • Apple TV

    Tilgjengelig for: Apple TV 2. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksplassering kan få nettstedsakkreditiver

    Beskrivelse: Set-Cookie HTTP-overskrifter ville bli behandlet selv om forbindelsen ble avsluttet før overskriftslinjen ble fullført. En angriper kunne strippe sikkerhetsinnstillinger fra informasjonskapselen ved å tvinge forbindelsen til å avslutte før sikkerhetsinnstillingene ble sendt, og så få verdien til den ubeskyttede kapselen. Dette problemet ble løst ved å ignorere ufullstendige HTTP-overskriftslinjer.

    CVE-ID

    CVE-2014-1296: Antoine Delignat-Lavaud i Prosecco ved Inria Paris

  • Apple TV

    Tilgjengelig for: Apple TV 2. generasjon og nyere

    Virkning: En lokal bruker kan lese kjernepekere, som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: Et sett med kjernepekere som var lagret i et IOKit-objekt, kunne hentes fra userland. Dette problemet ble løst ved å fjerne pekerne fra objektet.

    CVE-ID

    CVE-2014-1320: Ian Beer ved Google Project Zero som arbeider med HPs Zero Day Initiative

  • Apple TV

    Tilgjengelig for: Apple TV 2. generasjon og nyere

    Virkning: En angriper med nettverksplassering med prioritet kan fange data eller endre oppgaver utført i sesjoner beskyttet av SSL

    Beskrivelse: Ved «treveis håndtrykk»-angrep var det mulig for en angriper å opprette to forbindelser med samme krypteringsnøkler og håndtrykk, sette inn angriperens data i én forbindelse og forhandle på nytt, slik at forbindelsene kunne videresendes til hverandre. For å unngå angrep på grunnlag av dette scenarioet ble Secure Transport endret, slik at en ny forhandling som standard må vise samme tjenersertifikat som ved den opprinnelige tilkoblingen.

    CVE-ID

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan og Alfredo Pironti i Prosecco ved Inria Paris

  • Apple TV

    Tilgjengelig for: Apple TV 2. generasjon og nyere

    Virkning: En angriper med privilegert nettverksstilling kan forårsake at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2013-2871: miaubiz

    CVE-2014-1298: Google Chrome Security Team

    CVE-2014-1299: Google Chrome Security Team, Apple, Renata Hodovan ved universitetet i Szeged / Samsung Electronics

    CVE-2014-1300: Ian Beer ved Google Project Zero som arbeider med HPs Zero Day Initiative

    CVE-2014-1302: Google Chrome Security Team, Apple

    CVE-2014-1303: KeenTeam som arbeider med HPs Zero Day Initiative

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: Google Chrome Security Team

    CVE-2014-1308: Google Chrome Security Team

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: Google Chrome Security Team

    CVE-2014-1311: Google Chrome Security Team

    CVE-2014-1312: Google Chrome Security Team

    CVE-2014-1313: Google Chrome Security Team

    CVE-2014-1713: VUPEN som arbeider med HPs Zero Day Initiative

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: