Obsah zabezpečenia v systéme Apple TV 7
V tomto dokumente sa popisuje obsah zabezpečenia v systéme Apple TV 7.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
Apple TV 7
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Útočník môže získať prihlasovacie údaje Wi-Fi siete
Popis: Útočník mohol predstierať identitu prístupového bodu Wi-Fi, ponúkať overenie protokolom LEAP, prelomiť hodnotu hash MS-CHAPv1 a pomocou odvodených prihlasovacích údajov sa overiť na príslušnom prístupovom bode, a to aj v prípade, že daný prístupový bod podporoval metódy overenia so silnejším zabezpečením. Tento problém bol vyriešený odstránením podpory protokolu LEAP.
CVE-ID
CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax a Wim Lamotte (univerzita v Hasselte)
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Útočník s prístupom k zariadeniu môže získať prístup k citlivým informáciám o používateľovi z denníkov
Popis: Do denníkov sa zapisovali citlivé informácie o používateľovi. Tento problém bol vyriešený zapisovaním menšieho objemu údajov do denníkov.
CVE-ID
CVE-2014-4357: Heli Myllykoski zo skupiny OP-Pohjola Group
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Útočník s privilegovanými oprávneniami v sieti môže spôsobiť, že zariadenie sa považuje za aktualizované, aj keď nie je
Popis: Počas spracúvania odpovedí pri kontrole aktualizácií dochádzalo k problému s overením. Pre kontroly If-Modified-Since v ďalších požiadavkách na aktualizáciu sa používali pozmenené dátumy z hlavičiek odpovedí Last-Modified nastavené na dátumy v budúcnosti. Tento problém bol vyriešený overovaním hlavičky Last-Modified.
CVE-ID
CVE-2014-4383: Raul Siles zo spoločnosti DinoSec
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní PDF súborov dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano zo spoločnosti Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo sprístupneniu informácií
Popis: Pri spracúvaní PDF súborov dochádzalo k čítaniu dát v zakázaných oblastiach pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano zo spoločnosti Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)Dosah: Aplikácia môže spôsobiť neočakávané ukončenie systémuPopis: Pri spracúvaní argumentov funkcie IOAcceleratorFamily rozhrania API dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením overovania argumentov funkcie IOAcceleratorFamily rozhrania API.CVE-IDCVE-2014-4369: Sarah aka winocm a Cererdlong z tímu Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Zariadenie sa môže neočakávane reštartovať
Popis: V ovládači IntelAccelerator dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením spracovávania chýb.
CVE-ID
CVE-2014-4373: cunzhang z laboratória Adlab spoločnosti Venustech
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže čítať smerníky jadra, pomocou ktorých možno obísť náhodné usporiadanie rozloženia priestoru adries jadra
Popis: Pri spracúvaní funkcie IOHIDFamily dochádzalo k problému s čítaním dát v zakázaných oblastiach. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4379: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracúvaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4404: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracúvaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením overovania vlastností priradenia kľúčov funkcie IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: V rozšírení jadra IOHIDFamily dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4380: cunzhang z laboratória Adlab spoločnosti Venustech
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže čítať neinicializované dáta z pamäte jadra
Popis: Pri spracúvaní funkcií IOKit dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte.
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracúvaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.
CVE-ID
CVE-2014-4418: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracúvaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracúvaní funkcií IOKit dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením overovania argumentov funkcií IOKit rozhrania API.
CVE-ID
CVE-2014-4389: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Lokálny používateľ môže určiť rozloženie pamäte jadra
Popis: V rozhraní štatistiky siete dochádzalo k viacerým problémom s neinicializovanou pamäťou, ktoré viedli k sprístupneniu obsahu pamäte jadra. Tieto problémy boli vyriešené dodatočnou inicializáciou pamäte.
CVE-ID
CVE-2014-4371: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie
CVE-2014-4419: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie
CVE-2014-4420: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie
CVE-2014-4421: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Osoba s privilegovanými oprávneniami v sieti môže spôsobiť odmietnutie služby
Popis: Pri spracovávaní paketov protokolu IPv6 dochádzalo k problému s postupnosťou vykonávania procesov. Tento problém bol vyriešený vylepšením kontroly stavu uzamknutia.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre
Popis: Pri spracúvaní portov Mach dochádzalo k problému s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením overovania portov Mach.
CVE-ID
CVE-2014-4375
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre
Popis: Vo funkcii rt_setgate dochádzalo k problému s čítaním dát v zakázaných oblastiach. čo mohlo viesť k sprístupneniu obsahu alebo poškodeniu pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4408
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Niektoré opatrenia na zvýšenie úrovne zabezpečenia jadra možno obísť
Popis: Generátor náhodných čísel používaný v rámci opatrení na zvýšenie úrovne zabezpečenia jadra na začiatku procesu spúšťania systému nebol kryptograficky zabezpečený a niektoré z jeho výstupov boli odhalené v priestore používateľa, čo umožnilo tieto opatrenia obísť. Tento problém bol vyriešený nahradením generátora náhodných čísel kryptograficky bezpečným algoritmom a používaním 16-bajtovej šifry.
CVE-ID
CVE-2014-4422: Tarjei Mandt zo spoločnosti Azimuth Security
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami používateľa root
Popis: V knižnici Libnotify dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4381: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Lokálny používateľ môže meniť povolenia ľubovoľných súborov
Popis: Funkcia syslogd nasledovala symbolické odkazy pri zmene povolení súborov. Tento problém bol vyriešený vylepšením spracovávania symbolických odkazov.
CVE-ID
CVE-2014-4372: Tielei Wang a YeongJin Jang z centra Georgia Tech Information Security Center (GTISC)
Apple TV
Dostupné pre: Apple TV (3. generácia a novšie verzie)
Dosah: Útočník s privilegovanými oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2013-6663: Atte Kettunen zo spoločnosti OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: tím pre zabezpečenie prehliadača Google Chrome
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel zo spoločnosti Google
CVE-2014-4411: tím pre zabezpečenie prehliadača Google Chrome
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.