W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 6.1
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: atakujący z dostępem do urządzenia Apple TV może przechwycić poufne informacje o użytkowniku zachowane w dziennikach.
Opis: poufne informacje dotyczące użytkownika były rejestrowane w dziennikach. Ten problem rozwiązano przez rejestrowanie mniejszej ilości informacji.
Identyfikator CVE
CVE-2014-1279: David Schuetz z Intrepidus Group
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: daty wygaśnięcia profili nie były respektowane.
Opis: daty wygaśnięcia profili konfiguracyjnych na urządzeniach przenośnych nie były prawidłowo szacowane. Rozwiązanie tego problemu polega na poprawieniu obsługi profili konfiguracyjnych.
Identyfikator CVE
CVE-2014-1267
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: złośliwie spreparowana aplikacja może spowodować nieoczekiwane zamknięcie systemu.
Opis: w procedurze obsługi wywołań interfejsu IOKit API przez CoreCapture występował problem z osiągalną asercją. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania danych wejściowych z IOKit.
Identyfikator CVE
CVE-2014-1271: Filippo Bigarella
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: użytkownik lokalny może być w stanie zmienić uprawnienia do dowolnych plików.
Opis: proces CrashHouseKeeping korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Rozwiązanie tego problemu polega na niekorzystaniu z dowiązań symbolicznych przy zmianie uprawnień do plików.
Identyfikator CVE
CVE-2014-1272: evad3rs
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: istnieje możliwość obejścia wymagań dotyczących podpisywania kodu.
Opis: instrukcje relokacji tekstu w bibliotekach dynamicznych mogą być ładowane przez dyld bez sprawdzania poprawności podpisu kodu. Rozwiązanie tego problemu polega na ignorowaniu instrukcji relokacji tekstu.
Identyfikator CVE
CVE-2014-1273: evad3rs
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi obrazów JPEG2000 w plikach PDF występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1275: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi obrazów TIFF przez bibliotekę libtiff występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności obrazów TIFF.
Identyfikator CVE
CVE-2012-2088
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może spowodować ujawnienie zawartości pamięci.
Opis: w procedurach obsługi znaczników JPEG przez bibliotekę libjpeg występuje problem z dostępem do niezainicjowanej pamięci, co powoduje ujawnienie zawartości pamięci. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności obrazów JPEG.
Identyfikator CVE
CVE-2013-6629: Michał Zalewski
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: w funkcji ARM ptmx_get_ioctl występował problem dostępu do pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1278: evad3rs
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: profil konfiguracyjny może być ukryty przed użytkownikiem.
Opis: profil konfiguracyjny o długiej nazwie ładował się na urządzenie, ale nie pojawiał się w interfejsie użytkownika. Rozwiązanie tego problemu polega na ulepszeniu procedury obsługi nazw profili.
Identyfikator CVE
CVE-2014-1282: Assaf Hefetz, Yair Amit i Adi Sharabani ze Skycure
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może spowodować wykonanie dowolnego kodu w trybie jądra.
Opis: w procedurze obsługi komunikatów USB występował błąd powodujący uszkodzenie zawartości pamięci. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności komunikatów USB.
Identyfikator CVE
CVE-2014-1287: Andy Davis z NCC Group
-
WebKit
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2013-2909: Atte Kettunen z firmy OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-5196: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-5197: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-5198: firma Apple
CVE-2013-5199: firma Apple
CVE-2013-5225: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2013-5228: grupa Keen Team (@K33nTeam) pracująca w ramach programu Zero Day Initiative firmy HP
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: firma Apple
CVE-2014-1270: firma Apple
CVE-2014-1289: firma Apple
CVE-2014-1290: użytkownik ant4g0nist (SegFault) pracujący w ramach programu Zero Day Initiative firmy HP, zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1291: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1292: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1293: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1294: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
-
Urządzenie Apple TV
Dostępne dla urządzeń Apple TV (2. generacji i nowszych)
Zagrożenie: odtworzenie złośliwie spreparowanego pliku wideo może spowodować zawieszenie urządzenia.
Opis: w procedurze obsługi plików zakodowanych w formacie MPEG-4 występował problem z pustym odwołaniem. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2014-1280: rg0rd