W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć na tej stronie.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 7
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: osoba atakująca może uzyskać dane uwierzytelniania sieci Wi-Fi.
Opis: osoba atakująca mogła podszyć się pod punkt dostępu Wi-Fi, udostępnić uwierzytelnianie przy użyciu protokołu LEAP, złamać algorytm mieszający MS-CHAPv1 i użyć pozyskanych poświadczeń do uwierzytelnienia się na wybranym punkcie dostępu, nawet jeśli ten punkt obsługiwał silniejsze metody uwierzytelniania. Ten błąd naprawiono przez usunięcie obsługi protokołu LEAP.
Identyfikator CVE
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte z Uniwersytetu w Hasselt
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: osoba atakująca mająca dostęp do urządzenia może uzyskać dostęp do poufnych danych użytkownika zawartych w dziennikach.
Opis: rejestrowane były poufne informacje o użytkowniku. Ten problem został rozwiązany przez zmniejszenie ilości rejestrowanych informacji.
Identyfikator CVE
CVE-2014-4357: Heli Myllykoski z firmy OP-Pohjola Group
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może sprawić, że urządzenie nie rozpozna potrzeby uaktualnienia swojego oprogramowania.
Opis: w procedurze obsługi odpowiedzi na pytania o dostępność aktualizacji występował błąd sprawdzania poprawności. Przy sprawdzaniu warunku If-Modified-Since (jeśli zmodyfikowano od) na potrzeby pytań o dostępność aktualizacji były używane fałszywe daty (przyszłe) z nagłówków odpowiedzi Last-Modified (ostatnia modyfikacja). Ten problem został rozwiązany przez sprawdzanie poprawności nagłówka Last-Modified (ostatnia modyfikacja).
Identyfikator CVE
CVE-2014-4383: Raul Siles of DinoSec
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi plików PDF występuje przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.
Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program
- Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: aplikacja może spowodować nieoczekiwane zamknięcie systemu.
Opis: w procedurze obsługi argumentów interfejsu API IOAcceleratorFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOAcceleratorFamily.
Identyfikator CVE
CVE-2014-4369: Sarah (znana też jako winocm) i Cererdlong z grupy Alibaba Mobile Security Team
Wpis dodano 3 lutego 2020 r.
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: urządzenie może zostać niespodziewanie ponownie uruchomione.
Opis: w sterowniku IntelAccelerator występowała dereferencja wskaźnika null. Ten problem został rozwiązany przez poprawienie obsługi błędów.
Identyfikator CVE
CVE-2014-4373: cunzhang z Adlab of Venustech
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwa aplikacja może odczytywać wskaźniki jądra, dzięki którym można ominąć mechanizm losowego wybierania układu przestrzeni adresowej jądra.
Opis: w procedurze obsługi funkcji IOHIDFamily występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4379: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowało przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4404: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury obsługi właściwości mapowania klawiszy w komponencie IOHIDFamily.
Identyfikator CVE
CVE-2014-4405: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w rozszerzeniu jądra IOHIDFamily występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4380: cunzhang z Adlab of Venustech
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwa aplikacja może odczytać niezainicjowane dane z pamięci jądra.
Opis: w procedurach obsługi funkcji IOKit występował błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci
Identyfikator CVE
CVE-2014-4407: @PanguTeam
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi niektórych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.
Identyfikator CVE
CVE-2014-4418: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi niektórych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.
Identyfikator CVE
CVE-2014-4388: @PanguTeam
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOKit.
Identyfikator CVE
CVE-2014-4389: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.
Opis: w interfejsie statystyk sieciowych występowały różne błędy niezainicjowanej pamięci, które prowadziły do ujawnienia zawartości pamięci jądra. Ten błąd rozwiązano przez wprowadzenie dodatkowych procedur inicjowania pamięci.
Identyfikator CVE
CVE-2014-4371: Fermin J. Serna z zespołu Google Security Team
CVE-2014-4419: Fermin J. Serna z zespołu Google Security Team
CVE-2014-4420: Fermin J. Serna z zespołu Google Security Team
CVE-2014-4421: Fermin J. Serna z zespołu Google Security Team
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi” (DoS).
Opis: w procedurze obsługi pakietów IPv6 występował problem sytuacji wyścigu. Ten problem rozwiązano przez poprawienie procedur sprawdzania stanu blokady.
Identyfikator CVE
CVE-2011-2391: Marc Heuse
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: w procedurze obsługi portów Mach występował błąd dwukrotnego zwolnienia pamięci. Ten problem rozwiązano przez ulepszenie procedury sprawdzania poprawności portów Mach.
Identyfikator CVE
CVE-2014-4375
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: w interfejsie rt_setgate występował błąd odczytu spoza zakresu. Może to prowadzić do ujawnienia lub uszkodzenia pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4408
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: niektóre funkcje zabezpieczeń jądra mogą być pomijane.
Opis: wczesna wersja generatora liczb losowych stosowana w niektórych mechanizmach ochrony jądra nie była kryptograficznie bezpieczna. Część zwracanych wyników była dostępna w przestrzeni użytkownika, co pozwalało na obejście mechanizmów ochrony. Ten błąd naprawiono przez zastąpienie generatora liczb losowych kryptograficznie bezpiecznym algorytmem, który korzysta z 16-bitowej wartości początkowej.
Identyfikator CVE
CVE-2014-4422: Tarjei Mandt z Azimuth Security
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: w Libnotify występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4381: Ian Beer z Google Project Zero
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: użytkownik lokalny może zmienić uprawnienia do plików.
Opis: demon syslogd korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Ten błąd został rozwiązany przez poprawienie procedur obsługi dowiązań symbolicznych.
Identyfikator CVE
CVE-2014-4372: Tielei Wang i YeongJin Jang z Georgia Tech Information Security Center (GTISC)
Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2013-6663: Atte Kettunen z firmy OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel z Google
CVE-2014-4411: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple