Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 7
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: osoba atakująca może uzyskać dane uwierzytelniania sieci Wi-Fi.
Opis: osoba atakująca mogła podszyć się pod punkt dostępu Wi-Fi, udostępnić uwierzytelnianie przy użyciu protokołu LEAP, złamać algorytm mieszający MS-CHAPv1 i użyć pozyskanych poświadczeń do uwierzytelnienia się na wybranym punkcie dostępu, nawet jeśli ten punkt obsługiwał silniejsze metody uwierzytelniania. Ten błąd naprawiono przez usunięcie obsługi protokołu LEAP.
Identyfikator CVE
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte z Uniwersytetu w Hasselt
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: osoba atakująca mająca dostęp do urządzenia może uzyskać dostęp do poufnych danych użytkownika zawartych w dziennikach.
Opis: rejestrowane były poufne informacje o użytkowniku. Ten problem został rozwiązany przez zmniejszenie ilości rejestrowanych informacji.
Identyfikator CVE
CVE-2014-4357: Heli Myllykoski z OP-Pohjola Group
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może sprawić, że urządzenie nie rozpozna potrzeby uaktualnienia swojego oprogramowania.
Opis: w procedurze obsługi odpowiedzi na pytania o dostępność uaktualnień występował błąd sprawdzania poprawności. Przy sprawdzaniu warunku If-Modified-Since (jeśli zmodyfikowano od) na potrzeby pytań o dostępność aktualizacji były używane fałszywe daty (przyszłe) z nagłówków odpowiedzi Last-Modified (ostatnia modyfikacja). Ten problem został rozwiązany przez sprawdzanie poprawności nagłówka Last-Modified (ostatnia modyfikacja).
Identyfikator CVE
CVE-2014-4383: Raul Siles z DinoSec
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: podczas obsługi plików PDF następowało przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.
Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszychZagrożenie: aplikacja może spowodować nieoczekiwane zamknięcie systemu.Opis: w procedurze obsługi argumentów interfejsu API IOAcceleratorFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOAcceleratorFamily.Identyfikator CVECVE-2014-4369 : Sarah aka winocm i Cererdlong z Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: urządzenie może zostać niespodziewanie ponownie uruchomione.
Opis: w sterowniku IntelAccelerator występowała dereferencja wskaźnika null. Ten problem został rozwiązany przez poprawienie obsługi błędów.
Identyfikator CVE
CVE-2014-4373: cunzhang z Adlab of Venustech
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może odczytywać wskaźniki jądra, dzięki którym można ominąć mechanizm losowego wybierania układu przestrzeni adresowej jądra.
Opis: w procedurze obsługi funkcji IOHIDFamily występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4379: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowało przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4404: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury obsługi właściwości mapowania klawiszy w komponencie IOHIDFamily.
Identyfikator CVE
CVE-2014-4405: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w rozszerzeniu jądra IOHIDFamily występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4380: cunzhang z Adlab of Venustech
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może odczytać niezainicjowane dane z pamięci jądra.
Opis: w procedurach obsługi funkcji IOKit występował błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.
Identyfikator CVE
CVE-2014-4407: @PanguTeam
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi niektórych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.
Identyfikator CVE
CVE-2014-4418: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi niektórych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.
Identyfikator CVE
CVE-2014-4388: @PanguTeam
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOKit.
Identyfikator CVE
CVE-2014-4389: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.
Opis: w interfejsie statystyk sieciowych występowało wiele błędów niezainicjowanej pamięci, które prowadziły do ujawnienia zawartości pamięci jądra. Ten błąd rozwiązano przez wprowadzenie dodatkowych procedur inicjowania pamięci.
Identyfikator CVE
CVE-2014-4371: Fermin J. Serna z Google Security Team
CVE-2014-4419: Fermin J. Serna z Google Security Team
CVE-2014-4420: Fermin J. Serna z Google Security Team
CVE-2014-4421: Fermin J. Serna z Google Security Team
Kernel
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi”.
Opis: w procedurach obsługi pakietów IPv6 występowała sytuacja wyścigu. Ten problem rozwiązano przez poprawienie procedur sprawdzania stanu blokady.
Identyfikator CVE
CVE-2011-2391: Marc Heuse
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: w procedurze obsługi portów Mach występował błąd dwukrotnego zwolnienia pamięci. Ten problem rozwiązano przez ulepszenie procedury sprawdzania poprawności portów Mach.
Identyfikator CVE
CVE-2014-4375
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: w interfejsie rt_setgate występował błąd odczytu spoza zakresu. Może to prowadzić do ujawnienia lub uszkodzenia pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4408
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: niektóre funkcje zabezpieczeń jądra mogą być pomijane.
Opis: wczesna wersja generatora liczb losowych stosowana w niektórych mechanizmach ochrony jądra nie była kryptograficznie bezpieczna. Część zwracanych wyników była dostępna w przestrzeni użytkownika, co pozwalało na obejście mechanizmów ochrony. Ten błąd naprawiono przez zastąpienie generatora liczb losowych kryptograficznie bezpiecznym algorytmem, który korzysta z 16-bitowej wartości początkowej.
Identyfikator CVE
CVE-2014-4422: Tarjei Mandt z Azimuth Security
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: w Libnotify występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4381: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: użytkownik lokalny może zmienić uprawnienia do plików.
Opis: demon syslogd korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Ten błąd został rozwiązany przez poprawienie procedur obsługi dowiązań symbolicznych.
Identyfikator CVE
CVE-2014-4372: Tielei Wang i YeongJin Jang z Georgia Tech Information Security Center (GTISC)
Apple TV
Dostępne dla: urządzeń Apple TV 3. generacji i nowszych
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2013-6663: Atte Kettunen z OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel z Google
CVE-2014-4411: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.