Obsah zabezpečenia aktualizácie softvéru Apple TV 4.4

V tomto dokumente sa opisuje obsah zabezpečenia aktualizácie softvéru Apple TV 4.4.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia od spoločnosti Apple.

Aktualizácia softvéru Apple TV 4.4

  • Apple TV

    Dostupné pre: Apple TV 4.0 až 4.3

    Dosah: Útočník s privilegovanými oprávneniami v sieti môže byť schopný zachytiť prihlasovacie údaje používateľa alebo iné citlivé informácie

    Opis: Viaceré certifikačné autority prevádzkované spoločnosťou DigiNotar vydali podvodné certifikáty. Tento problém bol vyriešený odstránením spoločnosti DigiNotar zo zoznamu dôveryhodných koreňových certifikátov a zo zoznamu certifikačných autorít s rozšírením overovaním (EV) a nakonfigurovaním predvolených systémových nastavení dôveryhodnosti tak, aby certifikáty spoločnosti DigiNotar (vrátane certifikátov vydaných inými autoritami) neboli považované za dôveryhodné.

  • Apple TV

    Dostupné pre: Apple TV 4.0 až 4.3

    Dosah: Podpora certifikátov X.509 s algoritmami hash MD5 môže pri zdokonalených útokoch vystaviť používateľov falšovaniu a úniku informácií

    Opis: Systém iOS akceptoval certifikáty podpísané pomocou algoritmu hash MD5. Tento algoritmus má známe kryptografické slabiny. Ďalší prieskum alebo nesprávne nakonfigurovaná certifikačná autorita mohla povoliť vytvorenie certifikátov X.509 s hodnotami ovládanými útočníkom, ktorým by systém dôveroval. Protokoly založené na štandarde X.509 by tým boli vystavené falšovaniu, útokom typu MITM (man-in-the-middle) a úniku informácií. Táto aktualizácia zakazuje podporu certifikátu X.509 s algoritmom hash MD5. Tento certifikát možno použiť len ako dôveryhodný koreňový certifikát.

    CVE-ID

    CVE-2011-3427

  • Apple TV

    Dostupné pre: Apple TV 4.0 až 4.3

    Dosah: Útočník by mohol dešifrovať časť pripojenia SSL

    Opis: Boli podporované len verzie SSLv3 a TLS 1.0 protokolu SSL. Tieto verzie obsahovali protokol s nedostatočne zabezpečený miestami, ktoré sa prejavili pri použitých blokových šifier. Útočník využívajúcich útok typu MITM (man-in-the-middle) mohol vkladať neplatné dáta, spôsobiť ukončenie pripojenia a odhaliť informácie týkajúce sa predchádzajúcich dát. Ak sa pokus o pripojenie vykonal opakovane, útočník mohol byť schopný dešifrovať odosielané dáta, napríklad heslo. Tento problém bol vyriešený pridaním podpory protokolu TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    Dostupné pre: Apple TV 4.0 až 4.3

    Dosah: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Opis: Pri spracúvaní obrázkov TIFF s kódovaním CCITT Group 4 prostredníctvom knižnice libTIFF dochádzalo k pretečeniu medzipamäte.

    CVE-ID

    CVE-2011-0192: Apple

  • Apple TV

    Dostupné pre: Apple TV 4.0 až 4.3

    Dosah: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Opis: Pri spracúvaní obrázkov TIFF s kódovaním CCITT Group 4 súčasťou ImageIO dochádzalo k pretečeniu medzipamäte haldy.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX zo spoločnosti Tessi Technologies

  • Apple TV

    Dostupné pre: Apple TV 4.0 až 4.3

    Dosah: Vzdialený útočník môže spôsobiť resetovanie zariadenia

    Opis: Jadro nebolo schopné rýchlo obnoviť pamäť z neúplných pripojení TCP. Útočníkovi s možnosťou pripojenia k službe načúvania v zariadení so systémom iOS to mohlo umožniť vyčerpať systémové prostriedky.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer zo spoločnosti Topicus I&I a Josh Enders

  • Apple TV

    Dostupné pre: Apple TV 4.0 až 4.3

    Dosah: Útočník s privilegovanými oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Opis: Pri spracúvaní údajov XML prostredníctvom knižnice libxml dochádzalo k pretečeniu medzipamäte haldy o jeden bajt.

    CVE-ID

    CVE-2011-0216: Billy Rios z tímu spoločnosti Google pre zabezpečenie

  • Apple TV

    Dostupné pre: Apple TV 4.0 až 4.3

    Dosah: Útočník s privilegovanými oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Opis: V JavaScriptCore dochádzalo k problému súvisiacemu s poškodením pamäte.

    CVE-ID

    CVE-2011-3232: Aki Helin zo spoločnosti OUSPG

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Dátum zverejnenia: