Om sikkerhetsinnholdet i Apple TV 7

Dette dokumentet beskriver sikkerhetsinnholdet i Apple TV 7.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Apple TV 7

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper kan få tak i WiFi-akkreditiver

    Beskrivelse: En angriper kunne ha gitt seg ut for å være et WiFi-tilgangspunkt, tilbudt seg å godkjenne med LEAP, brutt MS-CHAPv1-hash-koden og brukt utledete akkreditiver til å få godkjenning for det tiltenkte tilgangspunktet selv om tilgangspunktet støttet sterkere godkjenningsmetoder. Problemet ble løst ved å fjerne støtten for LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax og Wim Lamotte ved Universiteit Hasselt

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper med tilgang til en enhet kan få tilgang til sensitiv brukerinformasjon fra logger

    Beskrivelse: Sensitiv brukerinformasjon ble logget. Dette problemet ble løst ved å logge mindre informasjon.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski i OP-Pohjola Group

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan kanskje få en enhet til å tro at den er oppdatert uten å være det

    Beskrivelse: Det var et problem med valideringen ved håndtering av svar på oppdateringskontroller. Falske datoer fra Sist endret-svarhoder som var satt til framtidige datoer, ble brukt i Hvis endret etter-kontroller i påfølgende oppdateringsforespørsler. Problemet ble løst gjennom validering av Sist endret-hodet.

    CVE-ID

    CVE-2014-4383: Raul Siles i DinoSec

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var heltallsoverflyt i håndteringen av PDF-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano i Binamuse VRT som arbeider med iSIGHT Partners GVP-programmet

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller at informasjon blir avdekket

    Beskrivelse: Det var mulig å lese hukommelse utenfor grensene i håndteringen av PDF-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano i Binamuse VRT som arbeider med iSIGHT Partners GVP-programmet

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et program kan forårsake en uventet systemavslutning

    Beskrivelse: Det var en dereferanse til en tom peker i håndteringen av IOAcceleratorFamily API-argumenter. Problemet ble løst gjennom forbedret validering av IOAcceleratorFamily API-argumenter.

    CVE-ID

    CVE-2014-4369: Catherine aka winocm og Cererdlong i Alibaba Mobile Security Team

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Enheten kan omstarte uventet

    Beskrivelse: Det var en dereferanse til en tom peker i IntelAccelerator-driveren. Problemet ble løst gjennom forbedret feilhåndtering.

    CVE-ID

    CVE-2014-4373: cunzhang ved Adlab i Venustech

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan være i stand til å lese kjernepekere, som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av en IOHIDFamily-funksjon. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4379: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i IOHIDFamilys håndtering av tasttilordningsegenskaper. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4404: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en dereferanse til en tom peker i IOHIDFamilys håndtering av tasttilordningsegenskaper. Problemet ble løst gjennom forbedret validering av IOHIDFamilys tasttilordningsegenskaper.

    CVE-ID

    CVE-2014-4405: Ian Beer ved Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skriving utenfor grensene i IOHIDFamily-kjerneutvidelsen. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4380: cunzhang ved Adlab i Venustech

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje lese ikke-initialiserte data fra kjernehukommelsen

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert hukommelse i håndteringen av IOKit-funksjoner. Problemet ble løst ved forbedret initialisering av hukommelsen.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret kontroll av metadata.

    CVE-ID

    CVE-2014-4418: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret kontroll av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-4389: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan bli i stand til å bestemme oppsett av kjernehukommelse

    Beskrivelse: Det var flere problemer med ikke-initialisert hukommelse i grensesnittet for nettverksstatistikk, som førte til at innhold i kjernehukommelsen ble avdekket. Problemet ble løst gjennom ekstra initialisering av hukommelse.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna i Google Security Team

    CVE-2014-4419: Fermin J. Serna i Google Security Team

    CVE-2014-4420: Fermin J. Serna i Google Security Team

    CVE-2014-4421: Fermin J. Serna i Google Security Team

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En person i en privilegert nettverksposisjon kan kanskje forårsake tjenestenekt

    Beskrivelse: Det var et problem med en race-tilstand i håndteringen av IPv6-pakker. Problemet ble løst gjennom forbedret låsetilstandskontroll.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med dobbel frigivelse i håndteringen av Mach-porter. Problemet ble løst gjennom forbedret validering av Mach-porter.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med lesing utenfor grensene i rt_setgate. Det kan føre til avdekking av hukommelse eller skadet hukommelse. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Enkelte kjerneherdingstiltak kan omgås

    Beskrivelse: Den «tidlige» vilkårlige tallgeneratoren som ble brukt i noen kjerneherdingstiltak, var ikke kryptografisk sikker, og noen av resultatene var eksponert for brukerområder, slik at herdingstiltakene kunne omgås. Problemet ble løst ved å erstatte den vilkårlige tallgeneratoren med en kryptografisk sikker algoritme og et «frø» på 16 byte.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt i Azimuth Security

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med rotrettigheter

    Beskrivelse: Det var et problem med skriving utenfor grensene i Libnotify. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4381: Ian Beer i Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan kanskje endre tillatelser for vilkårlige filer

    Beskrivelse: syslogd fulgte symbolske koblinger ved endring av rettigheter for filer. Problemet ble løst gjennom forbedret håndtering av symbolske koblinger.

    CVE-ID

    CVE-2014-4372: Tielei Wang og YeongJin Jang ved Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan kanskje forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2013-6663: Atte Kettunen i OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel i Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: