Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Apple TV 7

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: osoba atakująca może uzyskać dane uwierzytelniania sieci Wi-Fi.

    Opis: osoba atakująca mogła podszyć się pod punkt dostępu Wi-Fi, udostępnić uwierzytelnianie przy użyciu protokołu LEAP, złamać algorytm mieszający MS-CHAPv1 i użyć pozyskanych poświadczeń do uwierzytelnienia się na wybranym punkcie dostępu, nawet jeśli ten punkt obsługiwał silniejsze metody uwierzytelniania. Ten błąd naprawiono przez usunięcie obsługi protokołu LEAP.

    Identyfikator CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte z Uniwersytetu w Hasselt

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: osoba atakująca mająca dostęp do urządzenia może uzyskać dostęp do poufnych danych użytkownika zawartych w dziennikach.

    Opis: rejestrowane były poufne informacje o użytkowniku. Ten problem został rozwiązany przez zmniejszenie ilości rejestrowanych informacji.

    Identyfikator CVE

    CVE-2014-4357: Heli Myllykoski z firmy OP-Pohjola Group

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może sprawić, że urządzenie nie rozpozna potrzeby uaktualnienia swojego oprogramowania.

    Opis: w procedurze obsługi odpowiedzi na pytania o dostępność aktualizacji występował błąd sprawdzania poprawności. Przy sprawdzaniu warunku If-Modified-Since (jeśli zmodyfikowano od) na potrzeby pytań o dostępność aktualizacji były używane fałszywe daty (przyszłe) z nagłówków odpowiedzi Last-Modified (ostatnia modyfikacja). Ten problem został rozwiązany przez sprawdzanie poprawności nagłówka Last-Modified (ostatnia modyfikacja).

    Identyfikator CVE

    CVE-2014-4383: Raul Siles of DinoSec

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików PDF występuje przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.

    Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: aplikacja może spowodować nieoczekiwane zamknięcie systemu.

    Opis: w procedurze obsługi argumentów interfejsu API IOAcceleratorFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOAcceleratorFamily.

    Identyfikator CVE

    CVE-2014-4369: Sarah (znana też jako winocm) i Cererdlong z grupy Alibaba Mobile Security Team

    Wpis dodano 3 lutego 2020 r.
  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: urządzenie może zostać niespodziewanie ponownie uruchomione.

    Opis: w sterowniku IntelAccelerator występowała dereferencja wskaźnika null. Ten problem został rozwiązany przez poprawienie obsługi błędów.

    Identyfikator CVE

    CVE-2014-4373: cunzhang z Adlab of Venustech

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwa aplikacja może odczytywać wskaźniki jądra, dzięki którym można ominąć mechanizm losowego wybierania układu przestrzeni adresowej jądra.

    Opis: w procedurze obsługi funkcji IOHIDFamily występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4379: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowało przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4404: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury obsługi właściwości mapowania klawiszy w komponencie IOHIDFamily.

    Identyfikator CVE

    CVE-2014-4405: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w rozszerzeniu jądra IOHIDFamily występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4380: cunzhang z Adlab of Venustech

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwa aplikacja może odczytać niezainicjowane dane z pamięci jądra.

    Opis: w procedurach obsługi funkcji IOKit występował błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci

    Identyfikator CVE

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi niektórych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2014-4418: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi niektórych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2014-4389: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.

    Opis: w interfejsie statystyk sieciowych występowały różne błędy niezainicjowanej pamięci, które prowadziły do ujawnienia zawartości pamięci jądra. Ten błąd rozwiązano przez wprowadzenie dodatkowych procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2014-4371: Fermin J. Serna z zespołu Google Security Team

    CVE-2014-4419: Fermin J. Serna z zespołu Google Security Team

    CVE-2014-4420: Fermin J. Serna z zespołu Google Security Team

    CVE-2014-4421: Fermin J. Serna z zespołu Google Security Team

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi” (DoS).

    Opis: w procedurze obsługi pakietów IPv6 występował problem sytuacji wyścigu. Ten problem rozwiązano przez poprawienie procedur sprawdzania stanu blokady.

    Identyfikator CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

    Opis: w procedurze obsługi portów Mach występował błąd dwukrotnego zwolnienia pamięci. Ten problem rozwiązano przez ulepszenie procedury sprawdzania poprawności portów Mach.

    Identyfikator CVE

    CVE-2014-4375

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

    Opis: w interfejsie rt_setgate występował błąd odczytu spoza zakresu. Może to prowadzić do ujawnienia lub uszkodzenia pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4408

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: niektóre funkcje zabezpieczeń jądra mogą być pomijane.

    Opis: wczesna wersja generatora liczb losowych stosowana w niektórych mechanizmach ochrony jądra nie była kryptograficznie bezpieczna. Część zwracanych wyników była dostępna w przestrzeni użytkownika, co pozwalało na obejście mechanizmów ochrony. Ten błąd naprawiono przez zastąpienie generatora liczb losowych kryptograficznie bezpiecznym algorytmem, który korzysta z 16-bitowej wartości początkowej.

    Identyfikator CVE

    CVE-2014-4422: Tarjei Mandt z Azimuth Security

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

    Opis: w Libnotify występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4381: Ian Beer z Google Project Zero

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: użytkownik lokalny może zmienić uprawnienia do plików.

    Opis: demon syslogd korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Ten błąd został rozwiązany przez poprawienie procedur obsługi dowiązań symbolicznych.

    Identyfikator CVE

    CVE-2014-4372: Tielei Wang i YeongJin Jang z Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowszego)

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2013-6663: Atte Kettunen z firmy OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel z Google

    CVE-2014-4411: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: