Om sikkerhetsinnholdet i Apple TV 7

Dette dokumentet beskriver sikkerhetsinnholdet i Apple TV 7.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Hvis du vil finne ut mer om Apple-produktsikkerhet, kan du gå til nettstedet for Apple-produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil finne ut mer om andre sikkerhetsoppdateringer, kan du se Sikkerhetsoppdateringer fra Apple.

Apple TV 7

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper kan få tak i WiFi-legitimasjon

    Beskrivelse: En angriper kunne ha utgitt seg for å være et WiFi-tilgangspunkt, tilbudt seg å godkjenne med LEAP, brutt MS-CHAPv1-hash-koden og brukt utledet legitimasjon til å få godkjenning for det tiltenkte tilgangspunktet selv om tilgangspunktet støttet sterkere godkjenningsmetoder. Problemet ble løst ved å fjerne støtten for LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax og Wim Lamotte ved Universiteit Hasselt

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper med tilgang til en enhet kan få tilgang til sensitiv brukerinformasjon fra logger

    Beskrivelse: Sensitiv brukerinformasjon ble loggført. Problemet ble løst ved å loggføre mindre informasjon.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski fra OP-Pohjola Group

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan få en enhet til å tro at den er oppdatert uten å være det

    Beskrivelse: Det var et problem med valideringen ved håndtering av svar på oppdateringskontroller. Falske datoer fra Sist endret-svarhoder som var satt til fremtidige datoer, ble brukt i Hvis endret etter-kontroller i påfølgende oppdateringsforespørsler. Problemet ble løst gjennom validering av Sist endret-hodet.

    CVE-ID

    CVE-2014-4383: Raul Siles fra DinoSec

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano fra Binamuse VRT i samarbeid med iSIGHT Partners GVP-programmet

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller utlevering av informasjon

    Beskrivelse: Det var mulig å lese minne utenfor grensene i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano fra Binamuse VRT i samarbeid med iSIGHT Partners GVP-programmet

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et program kan forårsake en uventet systemavslutning

    Beskrivelse: Det var en dereferanse til en tom peker i håndteringen av IOAcceleratorFamily API-argumenter. Problemet ble løst gjennom forbedret validering av IOAcceleratorFamily API-argumenter.

    CVE-ID

    CVE-2014-4369: Sarah aka winocm og Cererdlong fra Alibaba Mobile Security Team

    Oppføring lagt til 3. februar 2020
  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Enheten kan uventet bli omstartet

    Beskrivelse: Det var en dereferanse til en tom peker i IntelAccelerator-driveren. Problemet ble løst gjennom forbedret feilhåndtering.

    CVE-ID

    CVE-2014-4373: cunzhang fra Adlab ved Venustech

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan være i stand til å lese kjernepekere, noe som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av en IOHIDFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4379: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i IOHIDFamilys håndtering av tasttilordningsegenskaper. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4404: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en dereferanse til en tom peker i IOHIDFamilys håndtering av tasttilordningsegenskaper. Problemet ble løst gjennom forbedret validering av IOHIDFamilys tasttilordningsegenskaper.

    CVE-ID

    CVE-2014-4405: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skriving utenfor grensene i IOHIDFamily-kjerneutvidelsen. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4380: cunzhang fra Adlab ved Venustech

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan lese ikke-initialiserte data fra kjerneminnet

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert minne i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret initialisering av minnet

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-4418: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-4389: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var flere problemer med ikke-initialisert minne i grensesnittet for nettverksstatistikk, noe som førte til utlevering av innhold i kjerneminnet. Problemet ble løst gjennom ekstra initialisering av minne.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna fra Google Security Team

    CVE-2014-4419: Fermin J. Serna fra Google Security Team

    CVE-2014-4420: Fermin J. Serna fra Google Security Team

    CVE-2014-4421: Fermin J. Serna fra Google Security Team

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En person i en privilegert nettverksposisjon kan forårsake tjenestenekt

    Beskrivelse: Det var et problem med en kappløpssituasjon ved håndteringen av IPv6-pakker. Problemet ble løst gjennom forbedret kontroll av låsetilstanden.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med dobbel frigivelse i håndteringen av Mach-porter. Problemet ble løst gjennom forbedret validering av Mach-porter.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med lesing utenfor grensene i rt_setgate. Det kan føre til utlevering av minne eller skadet minne. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Enkelte kjerneforsterkningstiltak kan omgås

    Beskrivelse: Den «tidlige» vilkårlige tallgeneratoren som ble brukt i noen kjerneforsterkningstiltak, var ikke kryptografisk sikker, og noen av resultatene var eksponert for brukerområder, slik at forsterkningstiltakene kunne omgås. Problemet ble løst ved å erstatte den vilkårlige tallgeneratoren med en kryptografisk sikker algoritme og et «frø» på 16 byte.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt fra Azimuth Security

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: Et skadelig program kan utføre vilkårlig kode med rotrettigheter

    Beskrivelse: Det var et problem med skriving utenfor grensene i Libnotify. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4381: Ian Beer fra Google Project Zero

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En lokal bruker kan endre rettigheter for vilkårlige filer

    Beskrivelse: syslogd fulgte symbolske koblinger ved endring av rettigheter for filer. Problemet ble løst gjennom forbedret håndtering av symbolske koblinger.

    CVE-ID

    CVE-2014-4372: Tielei Wang og YeongJin Jang fra Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Tilgjengelig for: Apple TV 3. generasjon og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2013-6663: Atte Kettunen fra OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel fra Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: