W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 6.2
-
Urządzenie Apple TV
Dostępne dla: Apple TV (2. generacji i nowsze)
Zagrożenie: aplikacja może spowodować nieoczekiwane ponowne uruchomienie urządzenia.
Opis: w procedurze obsługi argumentów interfejsu API IOKit występowała dereferencja wskaźnika null. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowej procedury sprawdzania argumentów interfejsu API IOKit.
Identyfikator CVE
CVE-2014-1355: cunzhang z Venustech Adlab
-
Urządzenie Apple TV
Dostępne dla: Apple TV (2. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi komunikatów IPC przez komponent launchd występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1356: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: Apple TV (2. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi komunikatów dziennika przez komponent launchd występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1357: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: Apple TV (2. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie launchd występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1358: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: Apple TV (2. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie launchd występował niedomiar całkowitoliczbowy. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1359: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: Apple TV (2. generacji i nowsze)
Zagrożenie: dwa bajty pamięci mogą zostać ujawnione zdalnemu atakującemu.
Opis: w procedurze obsługi komunikatów DTLS przy połączeniu TLS występował problem dostępu do niezainicjowanej pamięci. Rozwiązanie tego problemu polega na akceptowaniu komunikatów DTLS tylko przy połączeniach DTLS.
Identyfikator CVE
CVE-2014-1361: Thijs Alkemade z projektu Adium
-
Urządzenie Apple TV
Dostępne dla: Apple TV (2. generacji i nowsze)
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2013-2875: użytkownik miaubiz
CVE-2013-2927: użytkownik cloudfuzzer
CVE-2014-1323 : użytkownik banty
CVE-2014-1325: firma Apple
CVE-2014-1326: firma Apple
CVE-2014-1327: zespół do spraw bezpieczeństwa przeglądarki Google Chrome, firma Apple
CVE-2014-1329: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1330: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1334: firma Apple
CVE-2014-1335: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1336: firma Apple
CVE-2014-1337: firma Apple
CVE-2014-1338: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1339: Atte Kettunen z firmy OUSPG
CVE-2014-1341: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1342: firma Apple
CVE-2014-1343: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1362: firma Apple, użytkownik miaubiz
CVE-2014-1363: firma Apple
CVE-2014-1364: firma Apple
CVE-2014-1365: firma Apple, zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1366: firma Apple
CVE-2014-1367: firma Apple
CVE-2014-1368: Wushi z Keen Team (zespołu badawczego w firmie Keen Cloud Tech)
CVE-2014-1382: Renata Hodovan z Uniwersytetu w Segedynie / Samsung Electronics
CVE-2014-1731: anonimowy członek społeczności rozwoju Blink
-
Urządzenie Apple TV
Dostępne dla: Apple TV (2. generacji i nowsze)
Zagrożenie: transakcja w sklepie iTunes Store może zostać sfinalizowana bez wystarczającej autoryzacji.
Opis: zalogowany użytkownik mógł sfinalizować transakcję w sklepie iTunes Store bez wprowadzania prawidłowego hasła po wyświetleniu monitu. Ten problem rozwiązano przez dodanie nowych procedur wymuszania autoryzacji zakupów.
Identyfikator CVE
CVE-2014-1383