Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 6.2

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 6.2.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Apple TV 6.2

• Urządzenie Apple TV

  Dostępne dla: Apple TV (2. generacji i nowsze)

  Zagrożenie: aplikacja może spowodować nieoczekiwane ponowne uruchomienie urządzenia.

  Opis: w procedurze obsługi argumentów interfejsu API IOKit występowała dereferencja wskaźnika null. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowej procedury sprawdzania argumentów interfejsu API IOKit.

  Identyfikator CVE

  CVE-2014-1355: cunzhang z Venustech Adlab

• Urządzenie Apple TV

  Dostępne dla: Apple TV (2. generacji i nowsze)

  Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

  Opis: w procedurze obsługi komunikatów IPC przez komponent launchd występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2014-1356: Ian Beer z Google Project Zero

• Urządzenie Apple TV

  Dostępne dla: Apple TV (2. generacji i nowsze)

  Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

  Opis: w procedurze obsługi komunikatów dziennika przez komponent launchd występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2014-1357: Ian Beer z Google Project Zero

• Urządzenie Apple TV

  Dostępne dla: Apple TV (2. generacji i nowsze)

  Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

  Opis: w komponencie launchd występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2014-1358: Ian Beer z Google Project Zero

• Urządzenie Apple TV

  Dostępne dla: Apple TV (2. generacji i nowsze)

  Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

  Opis: w komponencie launchd występował niedomiar całkowitoliczbowy. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2014-1359: Ian Beer z Google Project Zero

• Urządzenie Apple TV

  Dostępne dla: Apple TV (2. generacji i nowsze)

  Zagrożenie: dwa bajty pamięci mogą zostać ujawnione zdalnemu atakującemu.

  Opis: w procedurze obsługi komunikatów DTLS przy połączeniu TLS występował problem dostępu do niezainicjowanej pamięci. Rozwiązanie tego problemu polega na akceptowaniu komunikatów DTLS tylko przy połączeniach DTLS.

  Identyfikator CVE

  CVE-2014-1361: Thijs Alkemade z projektu Adium

• Urządzenie Apple TV

  Dostępne dla: Apple TV (2. generacji i nowsze)

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

  Identyfikator CVE

  CVE-2013-2875: użytkownik miaubiz

  CVE-2013-2927: użytkownik cloudfuzzer

  CVE-2014-1323 : użytkownik banty

  CVE-2014-1325: firma Apple

  CVE-2014-1326: firma Apple

  CVE-2014-1327: zespół do spraw bezpieczeństwa przeglądarki Google Chrome, firma Apple

  CVE-2014-1329: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2014-1330: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2014-1331: cloudfuzzer

  CVE-2014-1333: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2014-1334: firma Apple

  CVE-2014-1335: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2014-1336: firma Apple

  CVE-2014-1337: firma Apple

  CVE-2014-1338: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2014-1339: Atte Kettunen z firmy OUSPG

  CVE-2014-1341: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2014-1342: firma Apple

  CVE-2014-1343: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2014-1362: firma Apple, użytkownik miaubiz

  CVE-2014-1363: firma Apple

  CVE-2014-1364: firma Apple

  CVE-2014-1365: firma Apple, zespół do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2014-1366: firma Apple

  CVE-2014-1367: firma Apple

  CVE-2014-1368: Wushi z Keen Team (zespołu badawczego w firmie Keen Cloud Tech)

  CVE-2014-1382: Renata Hodovan z Uniwersytetu w Segedynie / Samsung Electronics

  CVE-2014-1731: anonimowy członek społeczności rozwoju Blink

• Urządzenie Apple TV

  Dostępne dla: Apple TV (2. generacji i nowsze)

  Zagrożenie: transakcja w sklepie iTunes Store może zostać sfinalizowana bez wystarczającej autoryzacji.

  Opis: zalogowany użytkownik mógł sfinalizować transakcję w sklepie iTunes Store bez wprowadzania prawidłowego hasła po wyświetleniu monitu. Ten problem rozwiązano przez dodanie nowych procedur wymuszania autoryzacji zakupów.

  Identyfikator CVE

  CVE-2014-1383