Despre conținutul de securitate din Apple TV Actualizare software 4.4
Acest document descrie conținutul de securitate din Apple TV Actualizare software 4.4.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, accesează „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
Apple TV Actualizare software 4.4
Apple TV
Disponibilitate pentru: Apple TV 4.0 până la 4.3
Impact: un atacator cu o poziție privilegiată în rețea poate intercepta acreditările utilizatorilor sau alte informații sensibile.
Descriere: au fost emise certificate frauduloase de către mai multe autorități de certificare operate de DigiNotar. Această problemă a fost rezolvată prin eliminarea DigiNotar din lista de certificate-rădăcină de încredere și din lista de autorități de certificare Extended Validation (EV), precum și prin configurarea setărilor de sistem implicite privind nivelul de încredere astfel încât certificatele DigiNotar, inclusiv cele emise de alte autorități, să nu fie considerate de încredere.
Apple TV
Disponibilitate pentru: Apple TV 4.0 până la 4.3
Impact: suportul pentru certificate X.509 cu coduri hash MD5 poate expune utilizatorii la falsificări și dezvăluire de informații pe măsură ce atacurile se îmbunătățesc.
Descriere: certificatele semnate cu ajutorul algoritmului hash MD5 au fost acceptate de iOS. Acest algoritm are slăbiciuni criptografice cunoscute. Cercetări suplimentare sau o autoritate de certificare configurată greșit ar fi permis crearea de certificate X.509 cu valori controlate de atacatori care ar fi fost considerate de încredere de către sistem. Acest lucru ar fi expus protocoalele bazate pe X.509 la falsificare, atacuri de tipul „man in the middle” și divulgarea de informații. Această actualizare dezactivează suportul pentru un certificat X.509 certificate cu coduri hash MD5 pentru orice altă utilizare decât cea de certificat-rădăcină de încredere.
CVE-ID
CVE-2011-3427
Apple TV
Disponibilitate pentru: Apple TV 4.0 până la 4.3
Impact: un atacator ar putea decripta parțial o conexiune SSL
Descriere: au fost acceptate doar versiunile SSLv3 și TLS 1.0 de SSL. Aceste versiuni fac obiectul unei slăbiciuni a protocolului la utilizarea de cifruri de bloc. Un atacator de tipul „man in the middle” putea injecta date nevalide, cauzând închiderea conexiunii și dezvăluirea unor informații despre datele anterioare. Dacă aceeași conexiune era încercată în mod repetat, atacatorul putea, în final, să decripteze datele trimise, de exemplu parole. Această problemă este rezolvată prin adăugarea de suport pentru TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
Disponibilitate pentru: Apple TV 4.0 până la 4.3
Impact: vizualizarea unei imagini TIFF create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar.
Descriere: a existat o depășire de memorie tampon la tratarea de către libTIFF a imaginilor TIFF codificate CCITT Group 4.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Disponibilitate pentru: Apple TV 4.0 până la 4.3
Impact: vizualizarea unei imagini TIFF create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar.
Descriere: a existat o depășire a zonei de memorie tampon la tratarea de către ImageIO a imaginilor TIFF codificate CCITT Group 4.
CVE-ID
CVE-2011-0241 : Cyril CATTIAUX (Tessi Technologies)
Apple TV
Disponibilitate pentru: Apple TV 4.0 până la 4.3
Impact: un atacator de la distanță poate provoca o resetare a dispozitivului
Descriere: kernelul nu a reușit să recupereze prompt memoria de la conexiunile TCP incomplete. Un atacator cu posibilitate de conectare la un serviciu de ascultare pe un dispozitiv iOS putea epuiza resursele sistemului.
CVE-ID
CVE-2011-3259 : Wouter van der Veer (Topicus I&I) și Josh Enders
Apple TV
Disponibilitate pentru: Apple TV 4.0 până la 4.3
Impact: un atacator cu o poziție privilegiată în rețea poate cauza o închidere neașteptată a aplicației sau executarea de cod arbitrar
Descriere: a existat o depășire a zonei de memorie tampon de un octet la tratarea datelor XML de către libxml.
CVE-ID
CVE-2011-0216 : Billy Rios (Google Security Team)
Apple TV
Disponibilitate pentru: Apple TV 4.0 până la 4.3
Impact: un atacator cu o poziție privilegiată în rețea poate provoca o închidere neașteptată a aplicației sau executarea de cod arbitrar
Descriere: a existat o problemă de corupere a memoriei în JavaScriptCore.
CVE-ID
CVE-2011-3232 : Aki Helin (OUSPG)
Important: menționarea site-urilor web și produselor terțe are doar scop informativ și nu constituie o aprobare sau o recomandare. Apple nu își asumă nicio responsabilitate cu privire la selectarea, performanța sau utilizarea informațiilor sau produselor găsite pe site-urile web ale unor terțe părți. Apple oferă aceste informații doar în scopul de a ajuta utilizatorii. Apple nu a testat informațiile găsite pe aceste site-uri și nu face nicio declarație cu privire la acuratețea sau fiabilitatea acestora. Există riscuri inerente utilizării oricăror informații sau produse găsite pe internet, iar Apple nu își asumă nicio responsabilitate în acest sens. Reține că un site terț este independent de Apple și că Apple nu are niciun control asupra conținutului de pe site-ul respectiv. Pentru informații suplimentare, contactează furnizorul.