Om sikkerhetsinnholdet i Apple TV 7

I dette dokumentet beskrives sikkerhetsinnholdet i Apple TV 7.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Apple TV 7

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper kan få tak i Wi-Fi-akkreditiver

    Beskrivelse: En angriper kunne ha gitt seg ut for å være et Wi-Fi-tilgangspunkt, tilbudt seg å godkjenne med LEAP, brutt MS-CHAPv1-hash-koden og brukt utledete akkreditiver til å få godkjenning for det tiltenkte tilgangspunktet selv om tilgangspunktet støttet sterkere godkjenningsmetoder. Problemet ble løst ved å fjerne støtten for LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax og Wim Lamotte ved Universiteit Hasselt

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper med tilgang til en enhet kan få tilgang til sensitiv brukerinformasjon fra logger

    Beskrivelse: Sensitiv brukerinformasjon ble loggført. Problemet ble løst ved å logge mindre informasjon.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski i OP-Pohjola Group

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan få en enhet til å tro at den er oppdatert uten å være det

    Beskrivelse: Det var et problem med valideringen ved håndtering av svar på oppdateringskontroller. Falske datoer fra Sist endret-svarhoder som var satt til framtidige datoer, ble brukt i Hvis endret etter-kontroller i påfølgende oppdateringsforespørsler. Problemet ble løst gjennom validering av Sist endret-hodet.

    CVE-ID

    CVE-2014-4383: Raul Siles i DinoSec

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano i Binamuse VRT som arbeider med iSIGHT Partners GVP-programmet

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller avdekking av informasjon

    Beskrivelse: Det var mulig å lese minne utenfor grensene i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano i Binamuse VRT som arbeider med iSIGHT Partners GVP-programmet

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et program kan forårsake en uventet systemavslutning

    Beskrivelse: Det var en dereferanse til en tom peker i håndteringen av IOAcceleratorFamily API-argumenter. Problemet ble løst gjennom forbedret validering av IOAcceleratorFamily API-argumenter.

    CVE-ID

    CVE-2014-4369: Sarah aka winocm og Cererdlong fra Alibaba Mobile Security Team

    Oppføring lagt til 3. februar 2020
  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Enheten kan uventet bli omstartet

    Beskrivelse: Det var en dereferanse til en tom peker i IntelAccelerator-driveren. Problemet ble løst gjennom forbedret feilhåndtering.

    CVE-ID

    CVE-2014-4373: cunzhang ved Adlab i Venustech

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan være i stand til å lese kjernepekere, som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av en IOHIDFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4379: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i IOHIDFamilys håndtering av tasttilordningsegenskaper. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4404: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en dereferanse til en tom peker i IOHIDFamilys håndtering av tasttilordningsegenskaper. Problemet ble løst gjennom forbedret validering av IOHIDFamilys tasttilordningsegenskaper.

    CVE-ID

    CVE-2014-4405: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skriving utenfor grensene i IOHIDFamily-kjerneutvidelsen. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4380: cunzhang ved Adlab i Venustech

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje lese ikke-initialiserte data fra kjerneminnet

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert minne i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret initialisering av minnet

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-4418: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-4389: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan være i stand til å bestemme oppsett av kjerneminne

    Beskrivelse: Det var flere problemer med ikke-initialisert minne i grensesnittet for nettverksstatistikk, som førte til at innhold i kjerneminnet ble avdekket. Problemet ble løst gjennom ekstra initialisering av minne.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna i Google Security Team

    CVE-2014-4419: Fermin J. Serna i Google Security Team

    CVE-2014-4420: Fermin J. Serna i Google Security Team

    CVE-2014-4421: Fermin J. Serna i Google Security Team

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En person i en privilegert nettverksposisjon kan kanskje forårsake tjenestenekt

    Beskrivelse: Det var et problem med en race-tilstand i håndteringen av IPv6-pakker. Problemet ble løst gjennom forbedret kontroll av låsetilstanden.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med dobbel frigivelse i håndteringen av Mach-porter. Problemet ble løst gjennom forbedret validering av Mach-porter.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med lesing utenfor grensene i rt_setgate. Det kan føre til avdekking av minne eller skadet minne. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Enkelte kjerneforsterkningstiltak kan omgås

    Beskrivelse: Den «tidlige» vilkårlige tallgeneratoren som ble brukt i noen kjerneforsterkningstiltak, var ikke kryptografisk sikker, og noen av resultatene var eksponert for brukerområder, slik at forsterkningstiltakene kunne omgås. Problemet ble løst ved å erstatte den vilkårlige tallgeneratoren med en kryptografisk sikker algoritme og et «frø» på 16 byte.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt i Azimuth Security

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan utføre vilkårlig kode med rotrettigheter

    Beskrivelse: Det var et problem med skriving utenfor grensene i Libnotify. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4381: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan være i stand til å endre tillatelser på vilkårlige filer

    Beskrivelse: syslogd fulgte symbolske koblinger ved endring av rettigheter for filer. Problemet ble løst gjennom forbedret håndtering av symbolske koblinger.

    CVE-ID

    CVE-2014-4372: Tielei Wang og YeongJin Jang ved Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2013-6663: Atte Kettunen i OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel i Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: