Проблемы безопасности, устраняемые обновлением ПО Apple TV 6.1

В этом документе описаны проблемы системы безопасности, устраняемые обновлением Apple TV 6.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Сведения о PGP-ключе безопасности продуктов Apple см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Apple TV 6.1

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Лицо, производящее атаку с доступом к Apple TV, может получить доступ к конфиденциальной информации пользователя в журналах регистрации.

    Описание. Конфиденциальная информация пользователя заносилась в журналы. Эта проблема устранена путем ограничения объема протоколируемых сведений.

    Идентификатор CVE

    CVE-2014-1279: Дэвид Шутц из компании Intrepidus Group

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Не учитывались сроки действия профиля.

    Описание. Сроки действия профилей конфигурации мобильных устройств оценивались некорректно. Эта проблема была решена путем улучшенной обработки профилей конфигурации.

    Идентификатор CVE

    CVE-2014-1267

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Вредоносное приложение может вызвать неожиданное завершение работы системы.

    Описание. Существовала проблема доступности подтверждения при обработке вызовов IOKit API с помощью CoreCapture. Эта проблема была решена с помощью дополнительной проверки данных, передаваемых IOKit.

    Идентификатор CVE

    CVE-2014-1271: Филиппо Бигарелла

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Локальный пользователь может изменять разрешения для произвольных файлов.

    Описание. CrashHouseKeeping переходит по символьным ссылкам, изменяя разрешений для файлов. Эта проблема была решена путем запрета перехода по символьным ссылкам при изменении разрешений для файлов.

    Идентификатор CVE

    CVE-2014-1272: пользователь evad3rs

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Требования подписывания кода можно обойти.

    Описание. Инструкции перемещений в текстовых сегментах динамических библиотек можно загрузить с помощью dyld без проверки подписи кода. Эта проблема была решена путем игнорирования инструкций перемещений в текстовых сегментах.

    Идентификатор CVE

    CVE-2014-1273: пользователь evad3rs

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Просмотр вредоносного PDF-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке изображений JPEG2000 в PDF-файлах возникала проблема переполнения буфера. Эта проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-1275: Феликс Гроеберт из подразделения Google Security Team

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Просмотр вредоносного файла TIFF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке libTIFF возникала проблема с переполнением буфера при обработке изображений TIFF. Проблема устранена путем дополнительной проверки изображений TIFF.

    Идентификатор CVE

    CVE-2012-2088

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Просмотр вредоносного файла JPEG может привести к раскрытию содержимого памяти.

    Описание. Существовала проблема неинициализированного доступа к содержимому памяти при обработке маркеров JPEG в libjpeg, в результате которого раскрывалось содержимое памяти. Проблема устранена путем дополнительной проверки изображений JPEG.

    Идентификатор CVE

    CVE-2013-6629: Михал Залевски

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Локальный пользователь может вызвать внезапное завершение работы системы или выполнить произвольный код в ядре.

    Описание. Существовала проблема доступа за пределами выделенной памяти в функции ARM ptmx_get_ioctl. Эта проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-1278: пользователь evad3rs

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Профиль конфигурации может быть скрыт от пользователя.

    Описание. Профиль конфигурации с длинным именем может быть загружен на устройство, но не отображаться в профиле пользовательского интерфейса. Проблема устранена путем улучшенной обработки имен профилей.

    Идентификатор CVE

    CVE-2014-1282: Ассаф Хефец, Йэр Амит и Ади Шарабани из компании Skycure

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Лицо, имеющее физический доступ к устройству, может вызвать выполнение произвольного кода в ядре.

    Описание. При обработке USB-сообщений возникала проблема повреждения памяти. Эта проблема решена путем дополнительной проверки сообщений USB.

    Идентификатор CVE

    CVE-2014-1287: Энди Дэвис из компании NCC Group

  • WebKit

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению памяти. Проблемы устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2013-2909: Атте Кеттунен (Atte Kettunen) из компании OUSPG

    CVE-2013-2926: пользователь cloudfuzzer

    CVE-2013-2928: подразделение Google Chrome Security Team

    CVE-2013-5196: подразделение Google Chrome Security Team

    CVE-2013-5197: подразделение Google Chrome Security Team

    CVE-2013-5198: компания Apple

    CVE-2013-5199: компания Apple

    CVE-2013-5225: подразделение Google Chrome Security Team

    CVE-2013-5228: пользователь Keen Team (@K33nTeam), работающий с компанией HP по программе Zero Day Initiative

    CVE-2013-6625: пользователь cloudfuzzer

    CVE-2013-6635: пользователь cloudfuzzer

    CVE-2014-1269: компания Apple

    CVE-2014-1270: компания Apple

    CVE-2014-1289: компания Apple

    CVE-2014-1290: пользователь ant4g0nist (SegFault), работающий с компанией HP по программе Zero Day Initiative, подразделение Google Chrome Security Team

    CVE-2014-1291: подразделение Google Chrome Security Team

    CVE-2014-1292: подразделение Google Chrome Security Team

    CVE-2014-1293: подразделение Google Chrome Security Team

    CVE-2014-1294: подразделение Google Chrome Security Team

  • Apple TV

    Доступно для: Apple TV (2-го поколения и более поздних моделей).

    Воздействие. Воспроизведение вредоносного видео могло привести к зависанию устройства.

    Описание. При обработке файлов с кодировкой MPEG-4 возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2014-1280: пользователь rg0rd

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: