Сведения о проблемах системы безопасности, устраняемых обновлением Apple TV 7

В этом документе описываются проблемы безопасности, устраняемые обновлением Apple TV 7.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Apple TV 7

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Злоумышленник может получить учетные данные сети Wi-Fi.

    Описание. Злоумышленник мог выдать себя за точку доступа Wi-Fi, использовать протокол аутентификации LEAP, взломать хэш-коды MS-CHAPv1 и использовать полученные учетные данные для идентификации в определенной точке доступа, даже если она поддерживала более устойчивые механизмы аутентификации. Проблема устранена путем удаления поддержки LEAP.

    Идентификатор CVE

    CVE-2014-4364: Питер Робинс (Pieter Robyns), Брем Бонн (Bram Bonne), Питер Ко (Peter Quax) и Вим Ламот (Wim Lamotte) из Хассельтского университета

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Злоумышленник, имеющий доступ к устройству, может получить доступ к конфиденциальной информации пользователя в журналах регистрации.

    Описание. Конфиденциальная информация пользователя заносилась в журналы. Проблема устранена путем ограничения объема протоколируемых сведений.

    Идентификатор CVE

    CVE-2014-4357: Хели Милликоски (Heli Myllykoski) из компании OP-Pohjola Group

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может препятствовать обновлению ПО устройства.

    Описание. При обработке ответов о доступных обновлениях возникала проблема проверки. При последующих запросах обновлений для проверки If-Modified-Since использовались подмененные даты из заголовков ответа Last-Modified, относящиеся к будущему времени. Проблема устранена путем проверки заголовка Last-Modified.

    Идентификатор CVE

    CVE-2014-4383: Рауль Силес (Raul Siles) из компании DinoSec

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы приложения или к выполнению произвольного кода.

    Описание. При обработке файлов PDF возникала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4377: Фелипе Андрес Мансано (Felipe Andres Manzano) из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы программы или утечке информации.

    Описание. При обработке файлов PDF возникала проблема чтения памяти за пределами границ данных. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4378: Фелипе Андрес Мансано (Felipe Andres Manzano) из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Любое приложение может вызвать неожиданное завершение работы системы.

    Описание. При обработке аргументов API IOAcceleratorFamily возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки аргументов API IOAcceleratorFamily.

    Идентификатор CVE

    CVE-2014-4369: Сара (Sarah), известная как пользователь winocm, и пользователь Cererdlong из подразделения Alibaba Mobile Security Team

    Запись добавлена 3 февраля 2020 г.

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Может происходить неожиданная перезагрузка устройства.

    Описание. В драйвере IntelAccelerator возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной обработки ошибок.

    Идентификатор CVE

    CVE-2014-4373: пользователь cunzhang из подразделения Adlab компании Venustech

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное приложение может считывать указатели ядра, которые могут использоваться для обхода технологии случайного расположения в адресном пространстве ядра.

    Описание. При обработке функции IOHIDFamily возникала проблема чтения за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4379: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными привилегиями.

    Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема переполнения буфера динамической памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4404: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными привилегиями.

    Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки сопоставления клавиш в IOHIDFamily.

    Идентификатор CVE

    CVE-2014-4405: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.

    Описание. В расширении ядра IOHIDFamily возникала проблема записи за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4380: пользователь cunzhang из подразделения Adlab компании Venustech

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное приложение может считывать неинициализированные данные из памяти ядра.

    Описание. При обработке функций IOKit возникала проблема доступа к неинициализированной области памяти. Проблема устранена путем улучшенной инициализации памяти

    Идентификатор CVE

    CVE-2014-4407: пользователь @PanguTeam

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными привилегиями.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    Идентификатор CVE

    CVE-2014-4418: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными привилегиями.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    Идентификатор CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными привилегиями.

    Описание. При обработке функций IOKit существовала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки аргументов IOKit API-интерфейса.

    Идентификатор CVE

    CVE-2014-4389: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Локальный пользователь может определять схему распределения памяти в ядре.

    Описание. В интерфейсе сетевой статистики существовал ряд проблем, связанных с доступом к неинициализированной области памяти, которые приводили к раскрытию содержимого памяти ядра. Проблема устранена путем дополнительной инициализации памяти.

    Идентификатор CVE

    CVE-2014-4371: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4419: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4420: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4421: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может вызывать отказ в обслуживании.

    Описание. При обработке пакетов IPv6 возникало условие состязания. Проблема устранена путем улучшенной проверки состояния блокировки.

    Идентификатор CVE

    CVE-2011-2391: Марк Хеус (Marc Heuse)

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Локальный пользователь может вызвать внезапное завершение работы системы или выполнить произвольный код в ядре.

    Описание. При обработке портов Mach возникала проблема двойного освобождения памяти. Проблема устранена путем улучшенной проверки портов Mach.

    Идентификатор CVE

    CVE-2014-4375

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Локальный пользователь может вызвать внезапное завершение работы системы или выполнить произвольный код в ядре.

    Описание. В rt_setgate существовала проблема чтения за границами отведенной области памяти. Это могло привести к раскрытию или повреждению данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4408

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Некоторые меры безопасности ядра можно обойти.

    Описание. В ранних версиях генератора случайных чисел, который использовался в некоторых механизмах повышения безопасности ядра, не применялось шифрование. Поэтому часть его выходных данных попадала в пространство пользователя, что могло привести к обходу этих механизмов. Проблема решена путем применения генератора случайных чисел, в котором используется безопасный алгоритм шифрования и 16-байтовый ключ.

    Идентификатор CVE

    CVE-2014-4422: Тарьей Мандт (Tarjei Mandt) из компании Azimuth Security

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями корневого пользователя.

    Описание. В Libnotify возникала проблема записи за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4381: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Локальный пользователь может изменять разрешения для произвольных файлов.

    Описание. Служба syslogd переходила по символическим ссылкам, изменяя права доступа для файлов. Проблема устранена путем улучшенной обработки символических ссылок.

    Идентификатор CVE

    CVE-2014-4372: Телэй Ван (Tielei Wang) и Йонгджин Джанг (YeongJin Jang) из Центра информационной безопасности технологического института штата Джорджия (GTISC)

  • Apple TV

    Целевые продукты: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Злоумышленник с преимущественным положением в сети может вызвать неожиданное завершение работы программы или выполнить произвольный код.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2013-6663: Атте Кеттунен (Atte Kettunen) из подразделения программирования систем безопасности Университета Оулу (OUSPG)

    CVE-2014-1384: компания Apple

    CVE-2014-1385: компания Apple

    CVE-2014-1387: подразделение Google Chrome Security Team

    CVE-2014-1388: компания Apple

    CVE-2014-1389: компания Apple

    CVE-2014-4410: Эрик Зайдель (Eric Seidel) из компании Google

    CVE-2014-4411: подразделение Google Chrome Security Team

    CVE-2014-4412: компания Apple

    CVE-2014-4413: компания Apple

    CVE-2014-4414: компания Apple

    CVE-2014-4415: компания Apple

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: