W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 6.1
- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: atakujący z dostępem do urządzenia Apple TV może przechwycić poufne informacje o użytkowniku zachowane w dziennikach.

Opis: poufne informacje dotyczące użytkownika były rejestrowane w dziennikach. Ten problem rozwiązano przez rejestrowanie mniejszej ilości informacji.

Identyfikator CVE

CVE-2014-1279: David Schuetz z Intrepidus Group

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: daty wygaśnięcia profili nie były respektowane.

Opis: daty wygaśnięcia profili konfiguracyjnych na urządzeniach przenośnych nie były prawidłowo szacowane. Rozwiązanie tego problemu polega na poprawieniu obsługi profili konfiguracyjnych.

Identyfikator CVE

CVE-2014-1267

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: złośliwie spreparowana aplikacja może spowodować nieoczekiwane zamknięcie systemu.

Opis: w procedurze obsługi wywołań interfejsu IOKit API przez CoreCapture występował problem z osiągalną asercją. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania danych wejściowych z IOKit.

Identyfikator CVE

CVE-2014-1271: Filippo Bigarella

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: użytkownik lokalny może być w stanie zmienić uprawnienia do dowolnych plików.

Opis: proces CrashHouseKeeping korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Rozwiązanie tego problemu polega na niekorzystaniu z dowiązań symbolicznych przy zmianie uprawnień do plików.

Identyfikator CVE

CVE-2014-1272: evad3rs

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: istnieje możliwość obejścia wymagań dotyczących podpisywania kodu.

Opis: instrukcje relokacji tekstu w bibliotekach dynamicznych mogą być ładowane przez dyld bez sprawdzania poprawności podpisu kodu. Rozwiązanie tego problemu polega na ignorowaniu instrukcji relokacji tekstu.

Identyfikator CVE

CVE-2014-1273: evad3rs

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi obrazów JPEG2000 w plikach PDF występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

Identyfikator CVE

CVE-2014-1275: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi obrazów TIFF przez bibliotekę libtiff występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności obrazów TIFF.

Identyfikator CVE

CVE-2012-2088

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może spowodować ujawnienie zawartości pamięci.

Opis: w procedurach obsługi znaczników JPEG przez bibliotekę libjpeg występuje problem z dostępem do niezainicjowanej pamięci, co powoduje ujawnienie zawartości pamięci. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności obrazów JPEG.

Identyfikator CVE

CVE-2013-6629: Michał Zalewski

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

Opis: w funkcji ARM ptmx_get_ioctl występował problem dostępu do pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

Identyfikator CVE

CVE-2014-1278: evad3rs

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: profil konfiguracyjny może być ukryty przed użytkownikiem.

Opis: profil konfiguracyjny o długiej nazwie ładował się na urządzenie, ale nie pojawiał się w interfejsie użytkownika. Rozwiązanie tego problemu polega na ulepszeniu procedury obsługi nazw profili.

Identyfikator CVE

CVE-2014-1282: Assaf Hefetz, Yair Amit i Adi Sharabani ze Skycure

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może spowodować wykonanie dowolnego kodu w trybie jądra.

Opis: w procedurze obsługi komunikatów USB występował błąd powodujący uszkodzenie zawartości pamięci. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności komunikatów USB.

Identyfikator CVE

CVE-2014-1287: Andy Davis z NCC Group

 

- 

- 

WebKit

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

Identyfikator CVE

CVE-2013-2909: Atte Kettunen z firmy OUSPG

CVE-2013-2926: cloudfuzzer

CVE-2013-2928: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

CVE-2013-5196: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

CVE-2013-5197: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

CVE-2013-5198: firma Apple

CVE-2013-5199: firma Apple

CVE-2013-5225: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

CVE-2013-5228: grupa Keen Team (@K33nTeam) pracująca w ramach programu Zero Day Initiative firmy HP

CVE-2013-6625: cloudfuzzer

CVE-2013-6635: cloudfuzzer

CVE-2014-1269: firma Apple

CVE-2014-1270: firma Apple

CVE-2014-1289: firma Apple

CVE-2014-1290: użytkownik ant4g0nist (SegFault) pracujący w ramach programu Zero Day Initiative firmy HP, zespół do spraw bezpieczeństwa przeglądarki Google Chrome

CVE-2014-1291: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

CVE-2014-1292: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

CVE-2014-1293: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

CVE-2014-1294: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

 

- 

- 

Urządzenie Apple TV

Dostępne dla urządzeń Apple TV (2. generacji i nowszych)

Zagrożenie: odtworzenie złośliwie spreparowanego pliku wideo może spowodować zawieszenie urządzenia.

Opis: w procedurze obsługi plików zakodowanych w formacie MPEG-4 występował problem z pustym odwołaniem. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

Identyfikator CVE

CVE-2014-1280: rg0rd