Проблемы безопасности, устраняемые обновлением ПО Apple TV 7.2

В этом документе описаны проблемы системы безопасности, устраняемые обновлением Apple TV 7.2.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Apple TV 7.2

  • Apple TV

    Доступно для Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При использовании объектов IOKit драйверами аудиокарты возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    Идентификатор CVE

    CVE-2015-1086

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. С помощью программы, использующей NSXMLParser, можно вызвать утечку информации.

    Описание. При обработке XML в NSXMLParser возникала проблема с элементом внешней системы XML. Проблема устранена блокировкой загрузки внешних сущностей в исходные источники.

    Идентификатор CVE

    CVE-2015-1092: Икуйя Фукумото (Ikuya Fukumoto)

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.

    Описание. В IOAcceleratorFamily существовала проблема, приводившая к утечке содержимого памяти ядра. Проблема устранена путем удаления ненужного кода.

    Идентификатор CVE

    CVE-2015-1094: коллектив обеспечения мобильной безопасности Cererdlong of Alibaba Mobile Security Team

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносное устройство ввода может вызвать выполнение произвольного кода.

    Описание. В API-интерфейсе IOHIDFamily существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-1095: Эндрю Черч (Andrew Church)

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.

    Описание. В IOHIDFamily существовала проблема, приводившая к утечке содержимого памяти ядра. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2015-1096: Ilja van Sprundel (Илья ван Спрундел), IOActive

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.

    Описание. В MobileFrameBuffer существовала проблема, приводившая к утечке содержимого памяти ядра. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2015-1097: Барак Габей (Barak Gabai), коллектив изучения проблем безопасности программ IBM X-Force

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может вызвать отказ в обслуживании системы.

    Описание. При обработке системного вызова ядра setreuid возникало условие состязание. Эта проблема устранена путем усовершенствования управления состоянием.

    Идентификатор CVE

    CVE-2015-1099: Марк Ментовей (Mark Mentovai), Google Inc.

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может повысить свои привилегии, используя взломанную службу, которая должна запускаться с ограниченными привилегиями.

    Описание. Системным вызовам setreuid и setregid не удавалось ограничить привилегии без возможности их расширения. Проблема устранена путем улучшения механизма ограничения привилегий.

    Идентификатор CVE

    CVE-2015-1117: Марк Ментовей (Mark Mentovai), Google Inc.

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может вызвать неожиданное завершение работы системы или прочитать данные из памяти ядра.

    Описание. В ядре возникала проблема нарушения доступа к памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-1100: Максим Виллар, m00nbsd

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. В ядре существовало повреждение памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-1101: пользователь lokihardt@ASRT, сотрудничающий с компанией HP по программе Zero Day Initiative

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может вызвать отказ в обслуживании.

    Описание. При обработке заголовков TCP возникало состояние несогласованности. Проблема устранена путем усовершенствования управления состояниями.

    Идентификатор CVE

    CVE-2015-1102: Андрей Худяков (Andrey Khudyakov) и Максим Журавлев (Maxim Zhuravlev), «Лаборатория Касперского»

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перенаправлять трафик пользователей на произвольные узлы.

    Описание. В ОС iOS по умолчанию было включено перенаправление ICMP. Проблема устранена путем отключения перенаправлений ICMP.

    Идентификатор CVE

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Удаленный злоумышленник может обойти сетевые фильтры.

    Описание. Система могла обрабатывать некоторые пакеты IPv6 из удаленных сетевых интерфейсов как локальные. Проблема устранена путем отклонения таких пакетов.

    Идентификатор CVE

    CVE-2015-1104: Штефан Рёттгер (Stephen Roettger), отдел обеспечения безопасности Google

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.

    Описание. При обработке данных TCP вне диапазона возникало состояние несогласованности. Эта проблема устранена путем улучшенного управления состоянием.

    Идентификатор CVE

    CVE-2015-1105: Кентон Варда, Sandstorm.io

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Обработка вредоносного профиля конфигурации может приводить к неожиданному завершению работы программы.

    Описание. При обработке профилей конфигурации существовала проблема повреждения памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2015-1118: Чжаофэн Чэнь (Zhaofeng Chen), Хуэй Сюэ (Hui Xue), Юйлун Чжан (Yulong Zhang) и Тао Вэй (Tao Wei), FireEye, Inc.

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. При загрузке ресурсов подкастов на внешние серверы могут отправляться ненужные сведения.

    Описание. При загрузке ресурсов подкаста, на который подписан пользователь, на внешние серверы отправлялись уникальные идентификаторы. Проблема устранена путем удаления таких идентификаторов.

    Идентификатор CVE

    CVE-2015-1110: Алекс Селиванов (Alex Selivanov)

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Программам сторонних разработчиков могут быть доступны идентификаторы оборудования.

    Описание. В песочнице программы сторонних разработчиков возникала проблема утечки информации. Проблема устранена путем улучшения профиля песочницы.

    Идентификатор CVE

    CVE-2015-1114

  • Apple TV

    Доступно для: Apple TV (3-го поколения) и более поздних моделей.

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-1068: Apple

    CVE-2015-1069: пользователь lokihardt@ASRT, сотрудничающий с компанией HP по программе Zero Day Initiative

    CVE-2015-1070: Apple

    CVE-2015-1071: Apple

    CVE-2015-1072

    CVE-2015-1073: Apple

    CVE-2015-1074: Apple

    CVE-2015-1076

    CVE-2015-1077: Apple

    CVE-2015-1078: Apple

    CVE-2015-1079: Apple

    CVE-2015-1080: Apple

    CVE-2015-1081: Apple

    CVE-2015-1082: Apple

    CVE-2015-1083: Apple

    CVE-2015-1119: Рената Ходован (Renata Hodovan), Университет Сегеда и компания Samsung Electronics

    CVE-2015-1120: Apple

    CVE-2015-1121: Apple

    CVE-2015-1122: Apple

    CVE-2015-1123: Рэнди Люке (Randy Luecke) и Ануп Менон (Anoop Menon), Google Inc.

    CVE-2015-1124: Apple

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: