Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 5.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 5.1
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików filmów zakodowanych w formacie Sorenson występował błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.
Identyfikator CVE
CVE-2012-3722: Will Dormann z organizacji CERT/CC
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: złośliwa sieć Wi-Fi może określić sieci, z którymi łączyło się urządzenie.
Opis: po połączeniu się z siecią Wi-Fi system iOS może rozsyłać adresy MAC sieci, do których uzyskano wcześniej dostęp za pośrednictwem protokołu DNAv4. Ten problem rozwiązano przez wyłączenie protokołu DNAv4 lub obsługi nieszyfrowanych sieci Wi-Fi.
Identyfikator CVE
CVE-2012-3725: Mark Wuergler z firmy Immunity, Inc.
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi obrazów TIFF zakodowanych za pomocą algorytmu ThunderScan przez bibliotekę libtiff występował błąd przepełnienia buforu. Ten problem rozwiązano przez uaktualnienie biblioteki libtiff do wersji 3.9.5.
Identyfikator CVE
CVE-2011-1167
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu PNG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi obrazów PNG przez bibliotekę libpng występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie procedury sprawdzania poprawności obrazów PNG.
Identyfikator CVE
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
CVE-2011-3328
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu JPEG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi obrazów JPEG przez pakiet ImageIO występował błąd dotyczący podwójnego zwolnienia pamięci. Ten problem rozwiązano przez poprawienie procedur zarządzania pamięcią.
Identyfikator CVE
CVE-2012-3726: Phil z organizacji PKJE Consulting
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi obrazów TIFF przez bibliotekę libTIFF występował błąd przepełnienia całkowitoliczbowego. Ten problem rozwiązano przez poprawienie procedur sprawdzania poprawności obrazów TIFF. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.
Identyfikator CVE
CVE-2012-1173
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: aplikacje stosujące bibliotekę ICU mogą być narażone na nieoczekiwane zakończenie działania lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi identyfikatorów ustawień regionalnych biblioteki ICU występował błąd przepełnienia buforu stosu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2011-4599
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w bibliotece libxml występowało wiele luk w zabezpieczeniach, z których najpoważniejsze mogły spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. Te problemy rozwiązano przez zastosowanie odpowiednich poprawek typu upstream.
Identyfikator CVE
CVE-2011-1944: Chris Evans z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2011-2821: Yang Dingning z firmy NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning z firmy NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV 2. generacji i nowsze
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w oprogramowaniu JavaScriptCore występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2012-0682: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-0683: Dave Mandelin z firmy Mozilla
CVE-2012-3589: Dave Mandelin z firmy Mozilla
CVE-2012-3590: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3591: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3592: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3678: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3679: Chris Leary z firmy Mozilla