Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 6.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 6.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Apple TV 6.1

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: atakujący z dostępem do urządzenia Apple TV może przechwycić poufne informacje o użytkowniku zachowane w dziennikach.

    Opis: poufne informacje dotyczące użytkownika były rejestrowane w dziennikach. Ten problem rozwiązano przez rejestrowanie mniejszej ilości informacji.

    Identyfikator CVE

    CVE-2014-1279: David Schuetz z Intrepidus Group

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: daty wygaśnięcia profili nie były respektowane.

    Opis: daty wygaśnięcia profili konfiguracyjnych na urządzeniach przenośnych nie były prawidłowo szacowane. Rozwiązanie tego problemu polega na poprawieniu obsługi profili konfiguracyjnych.

    Identyfikator CVE

    CVE-2014-1267

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: złośliwie spreparowana aplikacja może spowodować nieoczekiwane zamknięcie systemu.

    Opis: w procedurze obsługi wywołań interfejsu IOKit API przez CoreCapture występował problem z osiągalną asercją. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania danych wejściowych z IOKit.

    Identyfikator CVE

    CVE-2014-1271: Filippo Bigarella

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: użytkownik lokalny może być w stanie zmienić uprawnienia do dowolnych plików.

    Opis: proces CrashHouseKeeping korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Rozwiązanie tego problemu polega na niekorzystaniu z dowiązań symbolicznych przy zmianie uprawnień do plików.

    Identyfikator CVE

    CVE-2014-1272: evad3rs

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: istnieje możliwość obejścia wymagań dotyczących podpisywania kodu.

    Opis: instrukcje relokacji tekstu w bibliotekach dynamicznych mogą być ładowane przez dyld bez sprawdzania poprawności podpisu kodu. Rozwiązanie tego problemu polega na ignorowaniu instrukcji relokacji tekstu.

    Identyfikator CVE

    CVE-2014-1273: evad3rs

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi obrazów JPEG2000 w plikach PDF występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1275: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi obrazów TIFF przez bibliotekę libtiff występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności obrazów TIFF.

    Identyfikator CVE

    CVE-2012-2088

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może spowodować ujawnienie zawartości pamięci.

    Opis: w procedurach obsługi znaczników JPEG przez bibliotekę libjpeg występuje problem z dostępem do niezainicjowanej pamięci, co powoduje ujawnienie zawartości pamięci. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności obrazów JPEG.

    Identyfikator CVE

    CVE-2013-6629: Michał Zalewski

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

    Opis: w funkcji ARM ptmx_get_ioctl występował problem dostępu do pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1278: evad3rs

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: profil konfiguracyjny może być ukryty przed użytkownikiem.

    Opis: profil konfiguracyjny o długiej nazwie ładował się na urządzenie, ale nie pojawiał się w interfejsie użytkownika. Rozwiązanie tego problemu polega na ulepszeniu procedury obsługi nazw profili.

    Identyfikator CVE

    CVE-2014-1282: Assaf Hefetz, Yair Amit i Adi Sharabani ze Skycure

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może spowodować wykonanie dowolnego kodu w trybie jądra.

    Opis: w procedurze obsługi komunikatów USB występował błąd powodujący uszkodzenie zawartości pamięci. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności komunikatów USB.

    Identyfikator CVE

    CVE-2014-1287: Andy Davis z NCC Group

  • WebKit

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2013-2909: Atte Kettunen z firmy OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-5196: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-5197: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-5198: firma Apple

    CVE-2013-5199: firma Apple

    CVE-2013-5225: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2013-5228: grupa Keen Team (@K33nTeam) pracująca w ramach programu Zero Day Initiative firmy HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: firma Apple

    CVE-2014-1270: firma Apple

    CVE-2014-1289: firma Apple

    CVE-2014-1290: użytkownik ant4g0nist (SegFault) pracujący w ramach programu Zero Day Initiative firmy HP, zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1291: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1292: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1293: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1294: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  • Urządzenie Apple TV

    Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku wideo może spowodować zawieszenie urządzenia.

    Opis: w procedurze obsługi plików zakodowanych w formacie MPEG-4 występował problem z pustym odwołaniem. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2014-1280: rg0rd

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: