Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 6.0

Dowiedz się o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 6.0.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Apple TV 6.0

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi danych zakodowanych metodą JBIG2 w plikach PDF występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-1025: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików filmowych zakodowanych w formacie Sorenson występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-1019: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) pracujący w ramach programu Zero Day Initiative firmy HP

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić dane uwierzytelniania użytkownika lub inne poufne informacje.

    Opis: firma TrustWave, zaufany urząd certyfikacji, wydała, a następnie wycofała certyfikat podrzędnego urzędu certyfikacji dla jednej z baz zaufania. Ten podrzędny urząd certyfikacji umożliwiał przechwytywanie komunikacji zabezpieczonej protokołem TLS (Transport Layer Security). To uaktualnienie dodaje ten certyfikat podrzędnego urzędu certyfikacji do listy niezaufanych certyfikatów systemu OS X.

    Identyfikator CVE

    CVE-2013-5134

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: osoba atakująca posiadająca możliwość wykonywania dowolnego kodu na urządzeniu może powodować, że kod będzie wykonywany między poszczególnymi uruchomieniami urządzenia.

    Opis: w funkcji openSharedCacheFile() edytora dyld występuje wiele błędów powodujących przepełnienie buforu. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-3950: Stefan Esser

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi danych zakodowanych metodą JPEG2000 w plikach PDF występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-1026: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: lokalna aplikacja o złośliwym działaniu może spowodować nieoczekiwane zakończenie pracy systemu.

    Opis: w klasie IOCatalogue występowało odwołanie do wskaźnika pustego. Rozwiązanie tego problemu polegało na wprowadzeniu dodatkowych procedur sprawdzania typów.

    Identyfikator CVE

    CVE-2013-5138: Will Estes

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: działanie złośliwej aplikacji może spowodować wykonanie dowolnego kodu w jądrze.

    Opis: w sterowniku IOSerialFamily wystąpił dostęp do tablicy spoza dozwolonego zakresu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-5139: @dent1zt

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: zdalna osoba atakująca może spowodować nieoczekiwane ponowne uruchomienie urządzenia

    Opis: wysłanie nieprawidłowego fragmentu pakietu do urządzenia może spowodować wyzwolenie przez jądro procesu ponownego uruchomienia urządzenia. Problem został rozwiązany dzięki dodatkowemu sprawdzaniu poprawności fragmentów pakietów.

    Identyfikator CVE

    CVE-2013-5140: Joonas Kuorilehto z Codenomicon, anonimowy badacz współpracujący z CERT-FI, Antti Levomäki i Lauri Virtanen z grupy oceny stopnia zagrożenia w Stonesoft

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: osoba atakująca w sieci lokalnej może przeprowadzić atak typu „odmowa usługi”.

    Opis: osoba atakująca w sieci lokalnej możne wysłać specjalnie utworzone pakiety IPv6 ICMP i spowodować wysokie obciążenie procesora. Problem został rozwiązany dzięki wprowadzeniu limitu liczby pakietów protokołu ICMP przed zweryfikowaniem ich sumy kontrolnej.

    Identyfikator CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: pamięć stosu jądra może zostać ujawniona użytkownikom lokalnym.

    Opis: w interfejsach API msgctl i segctl wystąpił problem polegający na ujawnieniu informacji. Problem rozwiązano przez zainicjowanie struktur danych zwróconych z jądra.

    Identyfikator CVE

    CVE-2013-5142: Kenzley Alphonse z Kenx Technology, Inc

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: nieuprawnione procesy mogły uzyskać dostęp do zawartości pamięci jądra, przez co mogło dojść do eskalacji uprawnień.

    Opis: w interfejsie API mach_port_space_info wystąpił problem polegający na ujawnieniu informacji. Problem rozwiązano przez zainicjowanie pola iin_collision w strukturach zwróconych z jądra.

    Identyfikator CVE

    CVE-2013-3953: Stefan Esser

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: nieuprawnione procesy mogą spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

    Opis: wystąpiło uszkodzenie pamięci w ramach obsługi argumentów w kontekście interfejsu API posix_spawn. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-3954: Stefan Esser

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: nieuprawniony proces może zmodyfikować zestaw załadowanych rozszerzeń jądra.

    Opis: wystąpił problem w kontekście obsługi przez kextd wiadomości IPC od nieuwierzytelnionych nadawców. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej kontroli uwierzytelniania.

    Identyfikator CVE

    CVE-2013-5145: „Rainbow PRISM”

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: wyświetlenie złośliwie spreparowanej strony internetowej może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w bibliotece libxml wystąpiło kilka błędów powodujących uszkodzenie zawartości pamięci. W celu rozwiązania tych problemów należy uaktualnić bibliotekę libxml do wersji 2.9.0.

    Identyfikator CVE

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Jüri Aedla)

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: wyświetlenie złośliwie spreparowanej strony internetowej może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w bibliotece libxslt wystąpiło kilka błędów powodujących uszkodzenie zawartości pamięci. Rozwiązanie tych problemów polega na uaktualnieniu biblioteki libxslt do wersji 1.1.28.

    Identyfikator CVE

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu z grupy badawczej FortiGuard Labs firmy Fortinet, Nicolas Gregoire

  • Apple TV

    Dostępne dla: urządzenia Apple TV (2. generacji i nowsze)

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2013-0879: Atte Kettunen z firmy OUSPG

    CVE-2013-0991: Jay Civelli ze społeczności rozwijającej projekt Chromium

    CVE-2013-0992: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Martin Barbella)

    CVE-2013-0993: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)

    CVE-2013-0994: David German z firmy Google

    CVE-2013-0995: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)

    CVE-2013-0996: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)

    CVE-2013-0997: Vitaliy Toropov pracujący w ramach programu Zero Day Initiative firmy HP

    CVE-2013-0998: użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP

    CVE-2013-0999: użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP

    CVE-2013-1000: Fermin J. Serna z zespołu do spraw bezpieczeństwa w firmie Google

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)

    CVE-2013-1004: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Martin Barbella)

    CVE-2013-1005: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Martin Barbella)

    CVE-2013-1006: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Martin Barbella)

    CVE-2013-1007: zespół do spraw bezpieczeństwa przeglądarki Google Chrome (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: użytkownik miaubiz

    CVE-2013-1011

    CVE-2013-1037: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-1038: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-1039: użytkownik own-hero Research pracujący w ramach programu iDefense VCP

    CVE-2013-1040: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-1041: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-1042: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-1043: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-1044: firma Apple

    CVE-2013-1045: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-1046: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-1047: użytkownik miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-5126: firma Apple

    CVE-2013-5127: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-5128: firma Apple

 

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: