Сведения о проблемах системы безопасности, устраняемых обновлением ПО Apple TV 4.4

В этом документе описываются проблемы системы безопасности, устраняемые обновлением ПО Apple TV 4.4.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Обновление программного обеспечения Apple TV 4.4

  • Apple TV

    Доступно для: Apple TV от версии 4.0 до версии 4.3

    Воздействие. Злоумышленник, обладающий привилегированным положением в сети, может перехватить учетные данные пользователя или другую конфиденциальную информацию.

    Описание. Мошеннические сертификаты были выданы несколькими центрами сертификации, управляемыми компанией DigiNotar. Эта проблема устранена путем исключения DigiNotar из списка доверенных корневых сертификатов и списка центров выдачи сертификатов высокой надежности (Extended Validation, EV), а также путем изменения стандартных параметров доверия таким образом, чтобы система не доверяла сертификатам DigiNotar, включая выданным другими центрами.

  • Apple TV

    Доступно для: Apple TV от версии 4.0 до версии 4.3

    Воздействие. При поддержке сертификатов X.509 с хэш-алгоритмами MD5 пользователи могут подвергнуться риску подмены и раскрытия информации по мере совершенствования атак

    Описание. Сертификаты, подписанные с использованием хэш-алгоритма MD5, были приняты iOS. У этого алгоритма есть известные криптографические уязвимые места. В результате углубленного исследования или указания неправильного центра сертификации можно было создавать сертификаты X.509 с управляемыми злоумышленником значениями, которые могли быть приняты системой. Таким образом протоколы на базе стандарта X.509 могли быть сфальсифицированы, что могло привести к выполнению атаки с перехватом и последующему раскрытию информации. В данном обновлении отключена поддержка сертификатов X.509 с хэш-алгоритмом MD5 для всех вариантов использования кроме доверенного корневого сертификата.

    Идентификатор CVE

    CVE-2011-3427

  • Apple TV

    Доступно для: Apple TV от версии 4.0 до версии 4.3

    Воздействие. Злоумышленник может расшифровать часть SSL-соединения.

    Описание. Поддерживались только версии SSLv3 и TLS 1.0. Эти версии становятся уязвимыми при использовании блочных шифров. Злоумышленник, выполняющий атаку с перехватом, мог внедрить недействительные данные, вызывающие разрыв соединения и частичное раскрытие информации о ранее отправленных данных. Если попытка установить такое же соединение повторялась многократно, злоумышленник мог в конечном счете расшифровать передаваемые данные, например пароль. Эта проблема решается за счет добавления поддержки TLS 1.2.

    Идентификатор CVE

    CVE-2011-3389

  • Apple TV

    Доступно для: Apple TV от версии 4.0 до версии 4.3

    Воздействие. Просматривание злоумышленно созданного изображения TIFF может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

    Описание. Переполнение буфера существовало в libTIFF при обработке изображений TIFF в кодировке CCITT Group 4.

    Идентификатор CVE-ID

    CVE-2011-0192: компания Apple

  • Apple TV

    Доступно для: Apple TV от версии 4.0 до версии 4.3

    Воздействие. Просматривание злоумышленно созданного изображения TIFF может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

    Описание. Переполнение буфера в динамической памяти существовало в ImageIO при обработке изображений TIFF в кодировке CCITT Group 4.

    Идентификатор CVE

    Сирил Катье (Cyril Cattiaux), компания Tessi Technologies

  • Apple TV

    Доступно для: Apple TV от версии 4.0 до версии 4.3

    Воздействие. При удаленной атаке злоумышленник может вызвать перезагрузку устройства.

    Описание. Ядру не удалось своевременно вернуть память после незавершенных TCP-соединений. Злоумышленник, у которого есть возможность подключиться к сервису прослушивания на устройстве iOS, может исчерпать системные ресурсы.

    Идентификатор CVE

    CVE-2011-3259: Ваутер ван дер Веер (Wouter van der Veer) из Topicus I&I и Джош Эндерс (Josh Enders)

  • Apple TV

    Доступно для: Apple TV от версии 4.0 до версии 4.3

    Воздействие. Злоумышленник, обладающий привилегированным положением в сети, может вызвать неожиданное завершение работы приложения или выполнить произвольный код.

    Описание. При обработке данных XML в libxml существовало переполнение однобайтового буфера в динамической памяти.

    Идентификатор CVE

    CVE CVE-2011-0216: Билли Риос (Billy Rios) из отдела обеспечения безопасности Google

  • Apple TV

    Доступно для: Apple TV от версии 4.0 до версии 4.3

    Воздействие. Злоумышленник, обладающий привилегированным положением в сети, может вызвать неожиданное завершение работы приложения или выполнить произвольный код.

    Описание: В JavaScriptCore существовала проблема, приводящая к повреждению памяти.

    Идентификатор CVE

    CVE-2011-3232: Аки Хелин (Aki Helin) из OUSPG.

Важно! Сторонние веб-сайты и продукты указаны исключительно в информационных целях. Их упоминание не следует рассматривать в качестве рекламы или рекомендации. Компания Apple не несет никакой ответственности за выбор, функциональность и использование информации или продуктов, представленных на сторонних веб-сайтах. Apple предоставляет эти сведения только для удобства своих пользователей. Компания Apple не проверяла сведения, размещенные на этих сайтах, и не делает никаких заявлений относительно их точности или надежности. Использование любых сведений или продуктов, представленных в Интернете, сопряжено с риском, и Apple не принимает на себя ответственности в этом отношении. Помните о том, что сторонние сайты не зависят от Apple и компания Apple не контролирует их содержимое. Свяжитесь с продавцом для получения дополнительной информации.

Дата публикации: