Informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu Apple TV 7.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Apple TV 7

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: atakujący może uzyskać dane logowania do sieci Wi-Fi.

    Opis: atakujący mógł podszyć się pod punkt dostępu do sieci Wi-Fi, zaoferować uwierzytelnianie przy użyciu protokołu LEAP, złamać algorytm mieszający protokołu MS-CHAPv1 i wykorzystać pozyskane poświadczenia do uwierzytelnienia się na wybranym punkcie dostępowym, nawet jeśli ten punkt obsługiwał silniejsze metody uwierzytelniania. Rozwiązanie tego problemu polega na zaprzestaniu obsługiwania protokołu LEAP.

    Identyfikator CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte z Uniwersytetu w Hasselt

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: atakujący z dostępem do urządzenia może przechwycić poufne dane użytkownika zachowane w dziennikach.

    Opis: poufne informacje dotyczące użytkownika były rejestrowane w dziennikach. Ten problem rozwiązano przez rejestrowanie mniejszej ilości informacji.

    Identyfikator CVE

    CVE-2014-4357: Heli Myllykoski z grupy OP-Pohjola

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może sprawić, że urządzenie nie będzie się uaktualniało mimo nieaktualnego oprogramowania.

    Opis: w procedurze obsługi odpowiedzi na zapytanie o dostępność uaktualnień występował błąd walidacji. Sfałszowane daty z nagłówków odpowiedzi Last-Modified (Ostatnia modyfikacja) ustawione na przyszłe daty były używane do sprawdzania If-Modified-Since (Jeśli zmodyfikowano od) w kolejnych żądaniach uaktualnień. Ten problem rozwiązano przez wprowadzenie sprawdzania poprawności nagłówka Last-Modified.

    Identyfikator CVE

    CVE-2014-4383: Raul Siles z DinoSec

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików PDF występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT w ramach programu iSIGHT Partners GVP

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.

    Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT w ramach programu iSIGHT Partners GVP

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: aplikacja może spowodować nieoczekiwane zamknięcie systemu.

    Opis: w procedurze obsługi argumentów interfejsu API IOAcceleratorFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury sprawdzania argumentów interfejsu API IOAcceleratorFamily.

    Identyfikator CVE

    CVE-2014-4369: Catherine alias winocm i Cererdlong z zespołu Alibaba Mobile Security Team

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: urządzenie może nieoczekiwanie uruchomić się ponownie.

    Opis: w sterowniku IntelAccelerator występowała dereferencja wskaźnika NULL. Problem rozwiązano przez poprawienie procedur obsługi błędów.

    Identyfikator CVE

    CVE-2014-4373: cunzhang z Venustech Adlab

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie odczytać wskaźniki jądra, co może posłużyć do obejścia randomizacji układu przestrzeni adresowej jądra.

    Opis: w procedurze obsługi funkcji IOHIDFamily występował problem odczytu spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4379: Ian Beer z Google Project Zero

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez rozszerzenie IOHIDFamily występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4404: Ian Beer z Google Project Zero

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez rozszerzenie IOHIDFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury sprawdzania właściwości odwzorowania klawiszy IOHIDFamily.

    Identyfikator CVE

    CVE-2014-4405: Ian Beer z Google Project Zero

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w rozszerzeniu jądra IOHIDFamily występował problem zapisu poza dozwolonym zakresem. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4380: cunzhang z Venustech Adlab

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie odczytać niezainicjowane dane z pamięci jądra.

    Opis: w procedurach obsługi funkcji IOKit występował błąd dostępu do niezainicjowanej pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2014-4407: @PanguTeam

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności metadanych.

    Identyfikator CVE

    CVE-2014-4418: Ian Beer z Google Project Zero

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności metadanych.

    Identyfikator CVE

    CVE-2014-4388: @PanguTeam

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2014-4389: Ian Beer z Google Project Zero

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.

    Opis: w interfejsie statystyk sieciowych występowało wiele błędów niezainicjowanej pamięci, które prowadziły do ujawnienia zawartości pamięci jądra. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury inicjowania pamięci.

    Identyfikator CVE

    CVE-2014-4371: Fermin J. Serna z Google Security Team

    CVE-2014-4419: Fermin J. Serna z Google Security Team

    CVE-2014-4420: Fermin J. Serna z Google Security Team

    CVE-2014-4421: Fermin J. Serna z zespołu do spraw bezpieczeństwa w firmie Google

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: osoba z uprzywilejowanym dostępem do sieci może spowodować odmowę obsługi.

    Opis: w procedurach obsługi pakietów IPv6 występowała sytuacja wyścigu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania stanu blokady.

    Identyfikator CVE

    CVE-2011-2391: Marc Heuse

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

    Opis: w procedurach obsługi portów Mach występował błąd dwukrotnego zwolnienia pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności portów Mach.

    Identyfikator CVE

    CVE-2014-4375

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

    Opis: w funkcji rt_setgate występował problem odczytu spoza dozwolonego zakresu. Może to prowadzić do ujawnienia lub uszkodzenia pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4408

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: istnieje możliwość obejścia niektórych środków zwiększających bezpieczeństwo jądra.

    Opis: wczesny generator liczb losowych stosowany w niektórych przypadkach jako środek na zwiększenie bezpieczeństwa jądra nie był kryptograficznie bezpieczny i część ze zwracanych przez niego wyników stawała się dostępna w przestrzeni użytkownika, co pozwalało na obejście środków zwiększających bezpieczeństwo. Rozwiązanie tego problemu polega na zastąpieniu generatora liczb losowych kryptograficznie bezpiecznym algorytmem i zastosowaniu 16-bajtowego ziarna.

    Identyfikator CVE

    CVE-2014-4422: Tarjei Mandt z Azimuth Security

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

    Opis: w funkcji Libnotify występował problem zapisu poza dozwolonym zakresem. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4381: Ian Beer z Google Project Zero

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: użytkownik lokalny może być w stanie zmienić uprawnienia do dowolnych plików.

    Opis: proces syslogd korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Ten problem rozwiązano przez poprawienie procedury obsługi łączy symbolicznych.

    Identyfikator CVE

    CVE-2014-4372: Tielei Wang i YeongJin Jang z Georgia Tech Information Security Center (GTISC)

  • Urządzenie Apple TV

    Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2013-6663: Atte Kettunen z OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel z Google

    CVE-2014-4411: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-4412: firma Apple

    CVE-2014-4413: firma Apple

    CVE-2014-4414: firma Apple

    CVE-2014-4415: firma Apple

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: