Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
Hvis du vil lese mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
Apple TV 7.2.1
bootp
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Et skadelig Wi-Fi-nettverk kan være i stand til å finne ut hvilke nettverk en enhet har hatt tilgang til tidligere
Beskrivelse: Etter tilkobling til et Wi-Fi-nettverk kan iOS ha kringkastet MAC-adresser til tidligere brukte nettverk via DNAv4-protokollen. Dette problemet ble løst ved å deaktivere DNAv4 i ukrypterte Wi-Fi-nettverk.
CVE-ID
CVE-2015-3778: Piers O'Hanlon fra Oxford Internet Institute, University of Oxford (på prosjektet EPSRC Being There)
CloudKit
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Et ondsinnet program kan være i stand til å få tilgang til iCloud-brukerposten til en tidligere pålogget bruker
Beskrivelse: Det var en tilstandsinkonsistens i CloudKit når brukere logget av. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-3782 : Deepkanwal Plaha fra University of Toronto
CFPreferences
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: En skadelig app kan være i stand til å lese administrerte valg for andre apper
Beskrivelse: Det var et problem i tredjepartappens sandkasse. Problemet ble løst ved å forbedre sandkasseprofilen for tredjeparter.
CVE-ID
CVE-2015-3793 : Andreas Weinlein fra Appthority Mobility Threat Team
Kodesignering
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Et skadelig program kan bli i stand til å utføre usignert kode
Beskrivelse: Det var et problem som tillot at usignert kode ble føyd til signert kode i en spesialutformet utførbar fil. Problemet ble løst gjennom forbedret validering av kodesignaturer.
CVE-ID
CVE-2015-3806 : TaiG Jailbreak Team
Kodesignering
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: En spesialutformet utførbar fil kan tillate utføring av usignert, skadelig kode
Beskrivelse: Det var et problem i måten utførbare filer med flere arkitekturer ble evaluert på, og som kunne ha tillatt utføring av usignert kode. Problemet ble løst med forbedret validering av utførbare filer.
CVE-ID
CVE-2015-3803 : TaiG Jailbreak Team
Kodesignering
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: En lokal bruker kan kanskje utføre usignert kode
Beskrivelse: Det var et valideringsproblem i håndteringen av Mach-O-filer. Dette ble løst ved å legge inn ekstra kontroller.
CVE-ID
CVE-2015-3802 : TaiG Jailbreak Team
CVE-2015-3805 : TaiG Jailbreak Team
CoreMedia Playback
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i CoreMedia Playback. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5777 : Apple
CVE-2015-5778 : Apple
CoreText
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team
Diskavbildninger
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Behandling av en skadelig DMG-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av feilformede DMG-bilder. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3800 : Frank Graziano fra Yahoo Pentest Team
FontParser
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-3804 : Apple
CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5775 : Apple
ImageIO
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Behandling av en skadelig .tiff-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av .tiff-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5758 : Apple
ImageIO
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Parsing av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Det var et problem med tilgang til ikke-initialisert hukommelse i ImageIOs håndtering av PNG-bilder. Problemet ble løst gjennom forbedret initialisering av hukommelse og ekstra validering av PNG-bilder.
CVE-ID
CVE-2015-5781 : Michal Zalewski
ImageIO
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Parsing av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Det var et problem med tilgang til ikke-initialisert hukommelse i ImageIOs håndtering av TIFF-bilder. Problemet ble løst gjennom forbedret initialisering av hukommelse og ekstra validering av TIFF-bilder.
CVE-ID
CVE-2015-5782 : Michal Zalewski
IOKit
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Parsing av en skadelig plist kan føre til uventet avslutning av et program eller utføring av vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av feilformede plists. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3776 : Teddy Reed fra Facebook Security, Patrick Stein (@jollyjinx) fra Jinx Germany
IOHIDFamily
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med bufferoverflyt i IOHIDFamily. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5774 : TaiG Jailbreak Team
Kjerne
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen
Beskrivelse: Det var et problem i mach_port_space_info-grensesnittet som kunne ha ført til avsløring av kjernehukommelseslayout. Dette ble løst ved å deaktivere mach_port_space_info-grensesnittet.
CVE-ID
CVE-2015-3766 : Cererdlong fra Alibaba Mobile Security Team, @PanguTeam
Kjerne
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.
CVE-ID
CVE-2015-3768 : Ilja van Sprundel
Libc
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Behandling av et skadelig regulært uttrykk kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i TRE-biblioteket. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3796 : Ian Beer fra Google Project Zero
CVE-2015-3797 : Ian Beer fra Google Project Zero
CVE-2015-3798 : Ian Beer fra Google Project Zero
Libinfo
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av AF_INET6-sokler. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5776 : Apple
libpthread
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av syscalls. Problemet ble løst gjennom forbedret kontroll av låsetilstanden.
CVE-ID
CVE-2015-5757 : Lufeng Li fra Qihoo 360
libxml2
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Parsing av et skadelig XML-dokument kan føre til at brukerinformasjon avsløres
Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av XML-filer. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3807 : Michal Zalewski
libxml2
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Det var flere sårbarheter i libxml2-versjoner før 2.9.2, der den mest alvorlige kunne tillate at en ekstern angriper forårsaket nekting av tjeneste
Beskrivelse: Det var flere sårbarheter i libxml2-versjoner før 2.9.2. Disse ble rettet ved å oppdatere libxml2 til versjon 2.9.2.
CVE-ID
CVE-2012-6685 : Felix Groebert fra Google
CVE-2014-0191 : Felix Groebert fra Google
CVE-2014-3660 : Felix Groebert fra Google
libxpc
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av feilformede XPC-meldinger. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-3795 : Mathew Rowley
libxslt
Tilgjengelig for: Apple TV (4. generasjon)
Virkning: Behandling av skadelig XML kan føre til at vilkårlig kode kjøres
Beskrivelse: Et slags forvirringsproblem hadde oppstått i libxslt. Problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-7995: puzzor
Location Framework
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: En lokal bruker kan være i stand til å endre beskyttede deler av filsystemet
Beskrivelse: Et problem med symbolsk lenke ble løst gjennom forbedret banevalidering.
CVE-ID
CVE-2015-3759 : Cererdlong fra Alibaba Mobile Security Team
Office Viewer
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Parsing av skadelig XML kan føre til avsløring av brukerinformasjon
Beskrivelse: Det var et problem med ekstern enhetsreferanse i XML-parsing. Problemet ble løst gjennom forbedret analyse.
CVE-ID
CVE-2015-3784 : Bruno Morisson fra INTEGRITY S.A.
QL Office
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av Office-dokumenter. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5773 : Apple
Sandbox_profiles
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: En skadelig app kan være i stand til å lese administrerte valg for andre apper
Beskrivelse: Det var et problem i tredjepartappens sandkasse. Problemet ble løst ved å forbedre sandkasseprofilen for tredjeparter.
CVE-ID
CVE-2015-5749 : Andreas Weinlein fra Appthority Mobility Threat Team
WebKit
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3730 : Apple
CVE-2015-3731 : Apple
CVE-2015-3732 : Apple
CVE-2015-3733 : Apple
CVE-2015-3734 : Apple
CVE-2015-3735 : Apple
CVE-2015-3736 : Apple
CVE-2015-3737 : Apple
CVE-2015-3738 : Apple
CVE-2015-3739 : Apple
CVE-2015-3740 : Apple
CVE-2015-3741 : Apple
CVE-2015-3742 : Apple
CVE-2015-3743 : Apple
CVE-2015-3744 : Apple
CVE-2015-3745 : Apple
CVE-2015-3746 : Apple
CVE-2015-3747 : Apple
CVE-2015-3748 : Apple
CVE-2015-3749 : Apple
WebKit
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Skadelig nettinnhold kan eksfiltrere bildedata på tvers av opphav
Beskrivelse: Bilder som er hentet gjennom URL-er som omdirigerte til en data:image-ressurs, kunne ha blitt eksfiltrert på tvers av opphav. Dette problemet ble løst ved forbedret sporing av lerretsfeil.
CVE-ID
CVE-2015-3753 : Antonio Sanso og Damien Antipa fra Adobe
WebKit
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Skadelig nettinnhold kan utløse plaintext-forespørsler til et opphav under HTTP Strict Transport Security
Beskrivelse: Det var et problem der Content Security Policy-rapportforespørsler ikke ville overholde HTTP Strict Transport Security (HSTS). Problemet ble løst ved å bruke HSTS på CSP.
CVE-ID
CVE-2015-3750 : Muneaki Nishimura (nishimunea)
WebKit
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Content Security Policy-rapportforespørsler kan lekke informasjonskapsler
Beskrivelse: Det var to problemer med måten informasjonskapsler ble lagt til Content Security Policy-rapportforespørsler. Informasjonskapsler ble sendt i rapportforespørsler på tvers av opphav, i strid med standarden. Informasjonskapsler som var fastsatt under vanlig nettlesing, ble sendt i privat nettlesing. Disse problemene ble løst gjennom forbedret håndtering av informasjonskapsler.
CVE-ID
CVE-2015-3752 : Muneaki Nishimura (nishimunea)
WebKit
Tilgjengelig for: Apple TV (3. generasjon)
Virkning: Lasting av bilder kan svære i strid med Content Security Policy-direktivet for et nettsted
Beskrivelse: Det var et problem der behandling av nettinnhold med videokontroller ville laste bilder som var nestet i objektelementer, i strid med nettstedets Content Security Policy-direktiv. Dette problemet ble løst gjennom forbedret håndhevelse av Content Security Policy.
CVE-ID
CVE-2015-3751 : Muneaki Nishimura (nishimunea)