Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 6.0
Dowiedz się o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 6.0.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 6.0
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi danych zakodowanych metodą JBIG2 w plikach PDF występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-1025: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików filmowych zakodowanych w formacie Sorenson występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-1019: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) pracujący w ramach programu Zero Day Initiative firmy HP
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić dane uwierzytelniania użytkownika lub inne poufne informacje.
Opis: firma TrustWave, zaufany urząd certyfikacji, wydała, a następnie wycofała certyfikat podrzędnego urzędu certyfikacji dla jednej z baz zaufania. Ten podrzędny urząd certyfikacji umożliwiał przechwytywanie komunikacji zabezpieczonej protokołem TLS (Transport Layer Security). To uaktualnienie dodaje ten certyfikat podrzędnego urzędu certyfikacji do listy niezaufanych certyfikatów systemu OS X.
Identyfikator CVE
CVE-2013-5134
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: osoba atakująca posiadająca możliwość wykonywania dowolnego kodu na urządzeniu może powodować, że kod będzie wykonywany między poszczególnymi uruchomieniami urządzenia.
Opis: w funkcji openSharedCacheFile() edytora dyld występuje wiele błędów powodujących przepełnienie buforu. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-3950: Stefan Esser
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi danych zakodowanych metodą JPEG2000 w plikach PDF występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-1026: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: lokalna aplikacja o złośliwym działaniu może spowodować nieoczekiwane zakończenie pracy systemu.
Opis: w klasie IOCatalogue występowało odwołanie do wskaźnika pustego. Rozwiązanie tego problemu polegało na wprowadzeniu dodatkowych procedur sprawdzania typów.
Identyfikator CVE
CVE-2013-5138: Will Estes
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: działanie złośliwej aplikacji może spowodować wykonanie dowolnego kodu w jądrze.
Opis: w sterowniku IOSerialFamily wystąpił dostęp do tablicy spoza dozwolonego zakresu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-5139: @dent1zt
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: zdalna osoba atakująca może spowodować nieoczekiwane ponowne uruchomienie urządzenia
Opis: wysłanie nieprawidłowego fragmentu pakietu do urządzenia może spowodować wyzwolenie przez jądro procesu ponownego uruchomienia urządzenia. Problem został rozwiązany dzięki dodatkowemu sprawdzaniu poprawności fragmentów pakietów.
Identyfikator CVE
CVE-2013-5140: Joonas Kuorilehto z Codenomicon, anonimowy badacz współpracujący z CERT-FI, Antti Levomäki i Lauri Virtanen z grupy oceny stopnia zagrożenia w Stonesoft
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: osoba atakująca w sieci lokalnej może przeprowadzić atak typu „odmowa usługi”.
Opis: osoba atakująca w sieci lokalnej możne wysłać specjalnie utworzone pakiety IPv6 ICMP i spowodować wysokie obciążenie procesora. Problem został rozwiązany dzięki wprowadzeniu limitu liczby pakietów protokołu ICMP przed zweryfikowaniem ich sumy kontrolnej.
Identyfikator CVE
CVE-2011-2391: Marc Heuse
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: pamięć stosu jądra może zostać ujawniona użytkownikom lokalnym.
Opis: w interfejsach API msgctl i segctl wystąpił problem polegający na ujawnieniu informacji. Problem rozwiązano przez zainicjowanie struktur danych zwróconych z jądra.
Identyfikator CVE
CVE-2013-5142: Kenzley Alphonse z Kenx Technology, Inc
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: nieuprawnione procesy mogły uzyskać dostęp do zawartości pamięci jądra, przez co mogło dojść do eskalacji uprawnień.
Opis: w interfejsie API mach_port_space_info wystąpił problem polegający na ujawnieniu informacji. Problem rozwiązano przez zainicjowanie pola iin_collision w strukturach zwróconych z jądra.
Identyfikator CVE
CVE-2013-3953: Stefan Esser
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: nieuprawnione procesy mogą spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: wystąpiło uszkodzenie pamięci w ramach obsługi argumentów w kontekście interfejsu API posix_spawn. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-3954: Stefan Esser
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: nieuprawniony proces może zmodyfikować zestaw załadowanych rozszerzeń jądra.
Opis: wystąpił problem w kontekście obsługi przez kextd wiadomości IPC od nieuwierzytelnionych nadawców. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej kontroli uwierzytelniania.
Identyfikator CVE
CVE-2013-5145: „Rainbow PRISM”
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: wyświetlenie złośliwie spreparowanej strony internetowej może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w bibliotece libxml wystąpiło kilka błędów powodujących uszkodzenie zawartości pamięci. W celu rozwiązania tych problemów należy uaktualnić bibliotekę libxml do wersji 2.9.0.
Identyfikator CVE
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Jüri Aedla)
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: wyświetlenie złośliwie spreparowanej strony internetowej może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w bibliotece libxslt wystąpiło kilka błędów powodujących uszkodzenie zawartości pamięci. Rozwiązanie tych problemów polega na uaktualnieniu biblioteki libxslt do wersji 1.1.28.
Identyfikator CVE
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Kai Lu z grupy badawczej FortiGuard Labs firmy Fortinet, Nicolas Gregoire
Apple TV
Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2013-0879: Atte Kettunen z firmy OUSPG
CVE-2013-0991: Jay Civelli ze społeczności rozwijającej projekt Chromium
CVE-2013-0992: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Martin Barbella)
CVE-2013-0993: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)
CVE-2013-0994: David German z firmy Google
CVE-2013-0995: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)
CVE-2013-0996: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)
CVE-2013-0997: Vitaliy Toropov pracujący w ramach programu Zero Day Initiative firmy HP
CVE-2013-0998: użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP
CVE-2013-0999: użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP
CVE-2013-1000: Fermin J. Serna z zespołu do spraw bezpieczeństwa w firmie Google
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)
CVE-2013-1004: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Martin Barbella)
CVE-2013-1005: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Martin Barbella)
CVE-2013-1006: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Martin Barbella)
CVE-2013-1007: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: użytkownik miaubiz
CVE-2013-1011
CVE-2013-1037: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-1038: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-1039: użytkownik own-hero Research pracujący w ramach programu iDefense VCP
CVE-2013-1040: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-1041: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-1042: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-1043: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-1044: firma Apple
CVE-2013-1045: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-1046: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-1047: użytkownik miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-5126: firma Apple
CVE-2013-5127: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-5128: firma Apple
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.