W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Apple TV 7
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: atakujący może uzyskać dane logowania do sieci Wi-Fi.
Opis: atakujący mógł podszyć się pod punkt dostępu do sieci Wi-Fi, zaoferować uwierzytelnianie przy użyciu protokołu LEAP, złamać algorytm mieszający protokołu MS-CHAPv1 i wykorzystać pozyskane poświadczenia do uwierzytelnienia się na wybranym punkcie dostępowym, nawet jeśli ten punkt obsługiwał silniejsze metody uwierzytelniania. Rozwiązanie tego problemu polega na zaprzestaniu obsługiwania protokołu LEAP.
Identyfikator CVE
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte z Uniwersytetu w Hasselt
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: atakujący z dostępem do urządzenia może przechwycić poufne dane użytkownika zachowane w dziennikach.
Opis: poufne informacje dotyczące użytkownika były rejestrowane w dziennikach. Ten problem rozwiązano przez rejestrowanie mniejszej ilości informacji.
Identyfikator CVE
CVE-2014-4357: Heli Myllykoski z grupy OP-Pohjola
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może sprawić, że urządzenie nie będzie się uaktualniało mimo nieaktualnego oprogramowania.
Opis: w procedurze obsługi odpowiedzi na zapytanie o dostępność uaktualnień występował błąd walidacji. Sfałszowane daty z nagłówków odpowiedzi Last-Modified (Ostatnia modyfikacja) ustawione na przyszłe daty były używane do sprawdzania If-Modified-Since (Jeśli zmodyfikowano od) w kolejnych żądaniach uaktualnień. Ten problem rozwiązano przez wprowadzenie sprawdzania poprawności nagłówka Last-Modified.
Identyfikator CVE
CVE-2014-4383: Raul Siles z DinoSec
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi plików PDF występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT w ramach programu iSIGHT Partners GVP
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.
Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT w ramach programu iSIGHT Partners GVP
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: aplikacja może spowodować nieoczekiwane zamknięcie systemu.
Opis: w procedurze obsługi argumentów interfejsu API IOAcceleratorFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury sprawdzania argumentów interfejsu API IOAcceleratorFamily.
Identyfikator CVE
CVE-2014-4369: Catherine alias winocm i Cererdlong z zespołu Alibaba Mobile Security Team
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: urządzenie może nieoczekiwanie uruchomić się ponownie.
Opis: w sterowniku IntelAccelerator występowała dereferencja wskaźnika NULL. Problem rozwiązano przez poprawienie procedur obsługi błędów.
Identyfikator CVE
CVE-2014-4373: cunzhang z Venustech Adlab
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie odczytać wskaźniki jądra, co może posłużyć do obejścia randomizacji układu przestrzeni adresowej jądra.
Opis: w procedurze obsługi funkcji IOHIDFamily występował problem odczytu spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4379: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez rozszerzenie IOHIDFamily występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4404: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez rozszerzenie IOHIDFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury sprawdzania właściwości odwzorowania klawiszy IOHIDFamily.
Identyfikator CVE
CVE-2014-4405: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w rozszerzeniu jądra IOHIDFamily występował problem zapisu poza dozwolonym zakresem. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4380: cunzhang z Venustech Adlab
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie odczytać niezainicjowane dane z pamięci jądra.
Opis: w procedurach obsługi funkcji IOKit występował błąd dostępu do niezainicjowanej pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.
Identyfikator CVE
CVE-2014-4407: @PanguTeam
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności metadanych.
Identyfikator CVE
CVE-2014-4418: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności metadanych.
Identyfikator CVE
CVE-2014-4388: @PanguTeam
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania argumentów interfejsu API IOKit.
Identyfikator CVE
CVE-2014-4389: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.
Opis: w interfejsie statystyk sieciowych występowało wiele błędów niezainicjowanej pamięci, które prowadziły do ujawnienia zawartości pamięci jądra. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury inicjowania pamięci.
Identyfikator CVE
CVE-2014-4371: Fermin J. Serna z Google Security Team
CVE-2014-4419: Fermin J. Serna z Google Security Team
CVE-2014-4420: Fermin J. Serna z Google Security Team
CVE-2014-4421: Fermin J. Serna z zespołu do spraw bezpieczeństwa w firmie Google
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: osoba z uprzywilejowanym dostępem do sieci może spowodować odmowę obsługi.
Opis: w procedurach obsługi pakietów IPv6 występowała sytuacja wyścigu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania stanu blokady.
Identyfikator CVE
CVE-2011-2391: Marc Heuse
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: w procedurach obsługi portów Mach występował błąd dwukrotnego zwolnienia pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności portów Mach.
Identyfikator CVE
CVE-2014-4375
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: w funkcji rt_setgate występował problem odczytu spoza dozwolonego zakresu. Może to prowadzić do ujawnienia lub uszkodzenia pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4408
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: istnieje możliwość obejścia niektórych środków zwiększających bezpieczeństwo jądra.
Opis: wczesny generator liczb losowych stosowany w niektórych przypadkach jako środek na zwiększenie bezpieczeństwa jądra nie był kryptograficznie bezpieczny i część ze zwracanych przez niego wyników stawała się dostępna w przestrzeni użytkownika, co pozwalało na obejście środków zwiększających bezpieczeństwo. Rozwiązanie tego problemu polega na zastąpieniu generatora liczb losowych kryptograficznie bezpiecznym algorytmem i zastosowaniu 16-bajtowego ziarna.
Identyfikator CVE
CVE-2014-4422: Tarjei Mandt z Azimuth Security
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: w funkcji Libnotify występował problem zapisu poza dozwolonym zakresem. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4381: Ian Beer z Google Project Zero
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: użytkownik lokalny może być w stanie zmienić uprawnienia do dowolnych plików.
Opis: proces syslogd korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Ten problem rozwiązano przez poprawienie procedury obsługi łączy symbolicznych.
Identyfikator CVE
CVE-2014-4372: Tielei Wang i YeongJin Jang z Georgia Tech Information Security Center (GTISC)
-
Urządzenie Apple TV
Dostępne dla: urządzenia Apple TV (3. generacji i nowsze)
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2013-6663: Atte Kettunen z OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel z Google
CVE-2014-4411: zespół do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2014-4412: firma Apple
CVE-2014-4413: firma Apple
CVE-2014-4414: firma Apple
CVE-2014-4415: firma Apple