Om sikkerhetsinnholdet i Apple TV 7.2.1

Dette dokumentet beskriver sikkerhetsinnholdet i Apple TV 7.2.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Hvis du vil lese mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Apple TV 7.2.1

  • bootp

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Et skadelig Wi-Fi-nettverk kan være i stand til å finne ut hvilke nettverk en enhet har hatt tilgang til tidligere

    Beskrivelse: Etter tilkobling til et Wi-Fi-nettverk kan iOS ha kringkastet MAC-adresser til tidligere brukte nettverk via DNAv4-protokollen. Dette problemet ble løst ved å deaktivere DNAv4 i ukrypterte Wi-Fi-nettverk.

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon fra Oxford Internet Institute, University of Oxford (på prosjektet EPSRC Being There)

  • CloudKit

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Et ondsinnet program kan være i stand til å få tilgang til iCloud-brukerposten til en tidligere pålogget bruker

    Beskrivelse: Det var en tilstandsinkonsistens i CloudKit når brukere logget av. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-3782 : Deepkanwal Plaha fra University of Toronto

  • CFPreferences

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: En skadelig app kan være i stand til å lese administrerte valg for andre apper

    Beskrivelse: Det var et problem i tredjepartappens sandkasse. Problemet ble løst ved å forbedre sandkasseprofilen for tredjeparter.

    CVE-ID

    CVE-2015-3793 : Andreas Weinlein fra Appthority Mobility Threat Team

  • Kodesignering

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Et skadelig program kan bli i stand til å utføre usignert kode

    Beskrivelse: Det var et problem som tillot at usignert kode ble føyd til signert kode i en spesialutformet utførbar fil. Problemet ble løst gjennom forbedret validering av kodesignaturer.

    CVE-ID

    CVE-2015-3806 : TaiG Jailbreak Team

  • Kodesignering

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: En spesialutformet utførbar fil kan tillate utføring av usignert, skadelig kode

    Beskrivelse: Det var et problem i måten utførbare filer med flere arkitekturer ble evaluert på, og som kunne ha tillatt utføring av usignert kode. Problemet ble løst med forbedret validering av utførbare filer.

    CVE-ID

    CVE-2015-3803 : TaiG Jailbreak Team

  • Kodesignering

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: En lokal bruker kan kanskje utføre usignert kode

    Beskrivelse: Det var et valideringsproblem i håndteringen av Mach-O-filer. Dette ble løst ved å legge inn ekstra kontroller.

    CVE-ID

    CVE-2015-3802 : TaiG Jailbreak Team

    CVE-2015-3805 : TaiG Jailbreak Team

  • CoreMedia Playback

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i CoreMedia Playback. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5777 : Apple

    CVE-2015-5778 : Apple

  • CoreText

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team 

    CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team

  • Diskavbildninger

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Behandling av en skadelig DMG-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av feilformede DMG-bilder. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3800 : Frank Graziano fra Yahoo Pentest Team

  • FontParser

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-3804 : Apple

    CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775 : Apple

  • ImageIO

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Behandling av en skadelig .tiff-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av .tiff-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5758 : Apple

  • ImageIO

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Parsing av skadelig nettinnhold kan føre til at prosessminne avsløres

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert hukommelse i ImageIOs håndtering av PNG-bilder. Problemet ble løst gjennom forbedret initialisering av hukommelse og ekstra validering av PNG-bilder.

    CVE-ID

    CVE-2015-5781 : Michal Zalewski

  • ImageIO

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Parsing av skadelig nettinnhold kan føre til at prosessminne avsløres

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert hukommelse i ImageIOs håndtering av TIFF-bilder. Problemet ble løst gjennom forbedret initialisering av hukommelse og ekstra validering av TIFF-bilder.

    CVE-ID

    CVE-2015-5782 : Michal Zalewski

  • IOKit

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Parsing av en skadelig plist kan føre til uventet avslutning av et program eller utføring av vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av feilformede plists. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3776 : Teddy Reed fra Facebook Security, Patrick Stein (@jollyjinx) fra Jinx Germany

  • IOHIDFamily

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med bufferoverflyt i IOHIDFamily. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5774 : TaiG Jailbreak Team

  • Kjerne

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen

    Beskrivelse: Det var et problem i mach_port_space_info-grensesnittet som kunne ha ført til avsløring av kjernehukommelseslayout. Dette ble løst ved å deaktivere mach_port_space_info-grensesnittet.

    CVE-ID

    CVE-2015-3766 : Cererdlong fra Alibaba Mobile Security Team, @PanguTeam

  • Kjerne

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.

    CVE-ID

    CVE-2015-3768 : Ilja van Sprundel

  • Libc

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Behandling av et skadelig regulært uttrykk kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i TRE-biblioteket. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3796 : Ian Beer fra Google Project Zero

    CVE-2015-3797 : Ian Beer fra Google Project Zero

    CVE-2015-3798 : Ian Beer fra Google Project Zero

  • Libinfo

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av AF_INET6-sokler. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5776 : Apple

  • libpthread

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av syscalls. Problemet ble løst gjennom forbedret kontroll av låsetilstanden.

    CVE-ID

    CVE-2015-5757 : Lufeng Li fra Qihoo 360

  • libxml2

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Parsing av et skadelig XML-dokument kan føre til at brukerinformasjon avsløres

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av XML-filer. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3807 : Michal Zalewski

  • libxml2

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Det var flere sårbarheter i libxml2-versjoner før 2.9.2, der den mest alvorlige kunne tillate at en ekstern angriper forårsaket nekting av tjeneste

    Beskrivelse: Det var flere sårbarheter i libxml2-versjoner før 2.9.2. Disse ble rettet ved å oppdatere libxml2 til versjon 2.9.2.

    CVE-ID

    CVE-2012-6685 : Felix Groebert fra Google

    CVE-2014-0191 : Felix Groebert fra Google

    CVE-2014-3660 : Felix Groebert fra Google

  • libxpc

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av feilformede XPC-meldinger. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-3795 : Mathew Rowley

  • libxslt

    Tilgjengelig for: Apple TV (4. generasjon)

    Virkning: Behandling av skadelig XML kan føre til at vilkårlig kode kjøres

    Beskrivelse: Et slags forvirringsproblem hadde oppstått i libxslt. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-7995: puzzor

  • Location Framework

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: En lokal bruker kan være i stand til å endre beskyttede deler av filsystemet

    Beskrivelse: Et problem med symbolsk lenke ble løst gjennom forbedret banevalidering.

    CVE-ID

    CVE-2015-3759 : Cererdlong fra Alibaba Mobile Security Team

  • Office Viewer

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Parsing av skadelig XML kan føre til avsløring av brukerinformasjon

    Beskrivelse: Det var et problem med ekstern enhetsreferanse i XML-parsing. Problemet ble løst gjennom forbedret analyse.

    CVE-ID

    CVE-2015-3784 : Bruno Morisson fra INTEGRITY S.A. 

  • QL Office

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av Office-dokumenter. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5773 : Apple

  • Sandbox_profiles

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: En skadelig app kan være i stand til å lese administrerte valg for andre apper

    Beskrivelse: Det var et problem i tredjepartappens sandkasse. Problemet ble løst ved å forbedre sandkasseprofilen for tredjeparter.

    CVE-ID

    CVE-2015-5749 : Andreas Weinlein fra Appthority Mobility Threat Team

  • WebKit

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Behandling av skadelig nettinnhold kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3730 : Apple

    CVE-2015-3731 : Apple

    CVE-2015-3732 : Apple

    CVE-2015-3733 : Apple

    CVE-2015-3734 : Apple

    CVE-2015-3735 : Apple

    CVE-2015-3736 : Apple

    CVE-2015-3737 : Apple

    CVE-2015-3738 : Apple

    CVE-2015-3739 : Apple

    CVE-2015-3740 : Apple

    CVE-2015-3741 : Apple

    CVE-2015-3742 : Apple

    CVE-2015-3743 : Apple

    CVE-2015-3744 : Apple

    CVE-2015-3745 : Apple

    CVE-2015-3746 : Apple

    CVE-2015-3747 : Apple

    CVE-2015-3748 : Apple

    CVE-2015-3749 : Apple

  • WebKit

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Skadelig nettinnhold kan eksfiltrere bildedata på tvers av opphav

    Beskrivelse: Bilder som er hentet gjennom URL-er som omdirigerte til en data:image-ressurs, kunne ha blitt eksfiltrert på tvers av opphav. Dette problemet ble løst ved forbedret sporing av lerretsfeil.

    CVE-ID

    CVE-2015-3753 : Antonio Sanso og Damien Antipa fra Adobe

  • WebKit

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Skadelig nettinnhold kan utløse plaintext-forespørsler til et opphav under HTTP Strict Transport Security

    Beskrivelse: Det var et problem der Content Security Policy-rapportforespørsler ikke ville overholde HTTP Strict Transport Security (HSTS). Problemet ble løst ved å bruke HSTS på CSP.

    CVE-ID

    CVE-2015-3750 : Muneaki Nishimura (nishimunea)

  • WebKit

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Content Security Policy-rapportforespørsler kan lekke informasjonskapsler

    Beskrivelse: Det var to problemer med måten informasjonskapsler ble lagt til Content Security Policy-rapportforespørsler. Informasjonskapsler ble sendt i rapportforespørsler på tvers av opphav, i strid med standarden. Informasjonskapsler som var fastsatt under vanlig nettlesing, ble sendt i privat nettlesing. Disse problemene ble løst gjennom forbedret håndtering av informasjonskapsler.

    CVE-ID

    CVE-2015-3752 : Muneaki Nishimura (nishimunea)

  • WebKit

    Tilgjengelig for: Apple TV (3. generasjon)

    Virkning: Lasting av bilder kan svære i strid med Content Security Policy-direktivet for et nettsted

    Beskrivelse: Det var et problem der behandling av nettinnhold med videokontroller ville laste bilder som var nestet i objektelementer, i strid med nettstedets Content Security Policy-direktiv. Dette problemet ble løst gjennom forbedret håndhevelse av Content Security Policy.

    CVE-ID

    CVE-2015-3751 : Muneaki Nishimura (nishimunea)

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: