Zawartość związana z zabezpieczeniami w uaktualnieniu oprogramowania urządzenia Apple TV 4.4
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu oprogramowania urządzenia Apple TV 4.4.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Uaktualnienie oprogramowania urządzenia Apple TV, wersja 4.4
Apple TV
Dostępne dla: oprogramowania Apple TV 4.0 do 4.3
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić poświadczenia użytkownika lub inne poufne informacje.
Opis: wiele urzędów certyfikacji obsługiwanych przez DigiNotar wydało fałszywe certyfikaty. Ten problem rozwiązano poprzez usunięcie DigiNotar z listy zaufanych certyfikatów głównych i listy urzędów rozszerzonych certyfikatów sprawdzania poprawności oraz skonfigurowanie domyślnych ustawień zaufania system w taki sposób, aby certyfikaty DigiNotar, w tym wystawiane przez inne urzędy, nie były zaufane.
Apple TV
Dostępne dla: oprogramowania Apple TV 4.0 do 4.3
Zagrożenie: obsługa certyfikatów X.509 ze skrótami MD5 może narażać użytkowników na atak polegający na podszywaniu się (spoofing) i ujawnianie informacji w miarę rozwoju ataków.
Opis: certyfikaty podpisane przy użyciu algorytmu mieszającego MD5 były akceptowane przez system iOS. Ten algorytm ma znane słabości kryptograficzne. Dalsze badania lub błędnie skonfigurowany urząd certyfikacji mogły pozwolić na utworzenie certyfikatów X.509 z wartościami kontrolowanymi przez osobę atakującą, które byłyby zaufane przez system. Naraziłoby to protokoły oparte na standardzie X.509 na atak polegający na podszywaniu się (spoofing), ataki typu „man in the middle” i ujawnienie informacji. To uaktualnienie wyłącza obsługę certyfikatu X.509 ze skrótem MD5 do celów innych niż zaufany certyfikat główny.
Identyfikator CVE
CVE-2011-3427
Apple TV
Dostępne dla: oprogramowania Apple TV 4.0 do 4.3
Zagrożenie: osoba atakująca może odszyfrować część połączenia SSL.
Opis: obsługiwane były tylko wersje SSLv3 i TLS 1.0 protokołu SSL. Wersje te ulegają słabości protokołu podczas korzystania z szyfrów blokowych. Osoba atakująca metodą man-in-the-middle mogła wprowadzić nieprawidłowe dane, powodując zamknięcie połączenia, ale ujawniając pewne informacje o poprzednich danych. Jeśli wielokrotnie podejmowano próbę nawiązania tego samego połączenia, osobie atakującej być może uda się w końcu odszyfrować wysyłane dane, takie jak hasło. Ten problem rozwiązano przez dodanie obsługi protokołu TLS 1.2.
Identyfikator CVE
CVE-2011-3389
Apple TV
Dostępne dla: oprogramowania Apple TV 4.0 do 4.3
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi obrazów TIFF zakodowanych w CCITT Group 4 przez bibliotekę libTIFF występowało przepełnienie buforu.
Identyfikator CVE
CVE-2011-0192: Apple
Apple TV
Dostępne dla: oprogramowania Apple TV 4.0 do 4.3
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi obrazów TIFF zakodowanych w CCITT Group 4 przez bibliotekę ImageIO występowało przepełnienie buforu sterty.
Identyfikator CVE
CVE-2011-0241: Cyril CATTIAUX z Tessi Technologies
Apple TV
Dostępne dla: oprogramowania Apple TV 4.0 do 4.3
Zagrożenie: osoba atakująca zdalnie może spowodować wyzerowanie urządzenia.
Opis: jądro nie było w stanie szybko odzyskać pamięci z niekompletnych połączeń TCP. Osoba atakująca mająca możliwość połączenia się z usługą nasłuchiwania na urządzeniu z systemem iOS mogła wyczerpać zasoby systemowe.
Identyfikator CVE
CVE-2011-3259: Wouter van der Veer z Topicus I&I i Josh Enders
Apple TV
Dostępne dla: oprogramowania Apple TV 4.0 do 4.3
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedury obsługi danych XML przez bibliotekę libxml występowało jednobajtowe przepełnienie buforu sterty.
Identyfikator CVE
CVE-2011-0216: Billy Rios z Google Security Team
Apple TV
Dostępne dla: oprogramowania Apple TV 4.0 do 4.3
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w JavaScriptCore występował błąd powodujący uszkodzenie zawartości pamięci.
Identyfikator CVE
CVE-2011-3232 : Aki Helin z OUSPG
Ważne: wzmianka o witrynach internetowych i produktach osób trzecich ma charakter wyłącznie informacyjny i nie stanowi rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności w związku z wyborem, działaniem lub korzystaniem z informacji lub produktów znalezionych w witrynach internetowych osób trzecich. Apple podaje je tylko jako udogodnienie dla naszych użytkowników. Firma Apple nie przetestowała informacji znalezionych w tych witrynach i nie składa żadnych oświadczeń dotyczących ich dokładności lub wiarygodności. Korzystanie z jakichkolwiek informacji lub produktów znalezionych w Internecie wiąże się z ryzykiem, a Apple nie ponosi żadnej odpowiedzialności w tym zakresie. Należy pamiętać, że witryna osoby trzeciej jest niezależna od Apple i że Apple nie ma kontroli nad zawartością tej witryny. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.