Проблемы системы безопасности, устраняемые обновлением Apple TV 5.1.1

В этой статье описываются проблемы системы безопасности Apple TV 5.1.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Apple TV 5.1.1

  • Apple TV

    Доступно для Apple TV (2-го поколения) и более поздних моделей.

    Воздействие. Недоверенные программы могут определять адреса в ядре.

    Описание. При обработке API-интерфейсов, связанных с расширениями ядра, возникала проблема раскрытия информации. Ответы, содержащие ключ OSBundleMachOHeaders, могли включать адреса ядра, что создавало потенциальную возможность обхода защиты адресного пространства путем рандомизации схемы размещения (ASLR). Проблема решена путем отмены смещения адресов перед их возвращением.

    Идентификатор CVE

    CVE-2012-3749: Марк Дауд (Mark Dowd) из Azimuth Security, Эрик Монти (Eric Monti) из Square и другие анонимные исследователи

  • Apple TV

    Доступно для Apple TV (2-го поколения) и более поздних моделей.

    Воздействие. Злоумышленник с преимущественным положением в сети может вызвать неожиданное завершение работы программы или выполнить произвольный код.

    Описание. При обработке массивов JavaScript возникала проблема с временем проверки и временем использования. Проблема решена путем дополнительной проверки массивов JavaScript.

    Идентификатор CVE

    CVE-2012-3748: Йоуст Пол (Joost Pol) и Даан Кейпер (Daan Keuper) из Certified Secure в рамках программы Zero Day Initiative, проводимой HP TippingPoint

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: