Obsah zabezpečenia v systéme Apple TV 7.

V tomto dokumente sa popisuje obsah zabezpečenia v systéme Apple TV 7.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

Apple TV 7

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Útočník môže získať prihlasovacie údaje Wi-Fi siete

    Popis: Útočník mohol predstierať identitu prístupového bodu Wi-Fi, ponúkať overenie protokolom LEAP, prelomiť hodnotu hash MS-CHAPv1 a pomocou odvodených prihlasovacích údajov sa overiť na príslušnom prístupovom bode, a to aj v prípade, ak daný prístupový bod podporoval metódy overenia so silnejším zabezpečením. Tento problém bol vyriešený odstránením podpory protokolu LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax a Wim Lamotte z Univerzity v Hasselte

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Útočník s prístupom k zariadeniu môže získať prístup k citlivým informáciám o používateľovi z denníkov

    Popis: Do denníkov sa zapisovali citlivé informácie o používateľovi. Tento problém bol vyriešený zapisovaním menšieho objemu údajov do denníkov.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski zo spoločnosti OP-Pohjola Group

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Útočník s oprávneniami v sieti môže spôsobiť, že zariadenie sa považuje za aktualizované, aj keď nie je

    Popis: Pri spracovávaní odpovedí pri kontrole aktualizácií dochádzalo k problému s overením. Pre kontroly If-Modified-Since v ďalších požiadavkách na aktualizáciu sa používali pozmenené dátumy z hlavičiek odpovedí Last-Modified nastavené na dátumy v budúcnosti. Tento problém bol vyriešený overovaním hlavičky Last-Modified.

    CVE-ID

    CVE-2014-4383: Raul Siles zo spoločnosti DinoSec

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní PDF súborov dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano zo spoločnosti Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo sprístupneniu informácií

    Popis: Pri spracovávaní PDF súborov dochádzalo k čítaniu dát v zakázaných oblastiach pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano zo spoločnosti Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia môže spôsobiť neočakávané ukončenie systému

    Popis: Pri spracovávaní argumentov funkcie IOAcceleratorFamily rozhrania API dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania argumentov funkcie IOAcceleratorFamily rozhrania API.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm a Cererdlong z tímu Alibaba Mobile Security Team

    Dátum pridania záznamu: 3. februára 2020
  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Zariadenie sa môže neočakávane reštartovať

    Popis: V ovládači IntelAccelerator dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením spracovávania chýb.

    CVE-ID

    CVE-2014-4373: cunzhang z tímu Adlab spoločnosti Venustech

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže čítať ukazovatele jadra, pomocou ktorých možno obísť náhodné usporiadanie rozloženia priestoru adries jadra

    Popis: Pri spracovávaní funkcie IOHIDFamily dochádzalo k problému s čítaním dát v zakázaných oblastiach. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4379: Ian Beer z tímu Google Project Zero

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4404: Ian Beer z tímu Google Project Zero

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania vlastností priradenia kľúčov funkcie IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer z tímu Google Project Zero

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: V rozšírení jadra IOHIDFamily dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4380: cunzhang z laboratória Adlab spoločnosti Venustech

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže čítať neinicializované dáta z pamäte jadra

    Popis: Pri spracovávaní funkcií IOKit dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.

    CVE-ID

    CVE-2014-4418: Ian Beer z tímu Google Project Zero

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní funkcií IOKit dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením overovania argumentov funkcií IOKit rozhrania API.

    CVE-ID

    CVE-2014-4389: Ian Beer z tímu Google Project Zero

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Lokálny používateľ môže určiť rozloženie pamäte jadra

    Popis: V rozhraní štatistiky siete dochádzalo k viacerým problémom s neinicializovanou pamäťou, ktoré viedli k sprístupneniu obsahu pamäte jadra. Tieto problémy boli vyriešené dodatočnou inicializáciou pamäte.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

    CVE-2014-4419: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

    CVE-2014-4420: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

    CVE-2014-4421: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Osoba s oprávneniami v sieti môže spôsobiť odmietnutie služby

    Popis: Pri spracovávaní paketov protokolu IPv6 dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vylepšením kontroly stavu uzamknutia.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

    Popis: Pri spracovávaní portov Mach dochádzalo k problému s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením overovania portov Mach.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

    Popis: Vo funkcii rt_setgate dochádzalo k problému s čítaním dát v zakázaných oblastiach, čo mohlo viesť k sprístupneniu obsahu alebo poškodeniu pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Niektoré opatrenia na zvýšenie úrovne zabezpečenia jadra možno obísť

    Popis: Generátor náhodných čísel používaný v rámci opatrení na zvýšenie úrovne zabezpečenia jadra na začiatku procesu spúšťania systému nebol kryptograficky zabezpečený a časť jeho výstupu bola odhalená v priestore používateľa, čo umožnilo tieto opatrenia obísť. Tento problém bol vyriešený nahradením generátora náhodných čísel kryptograficky bezpečným algoritmom a používaním 16-bajtovej šifry.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt zo spoločnosti Azimuth Security

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami koreňového používateľa

    Popis: V knižnici Libnotify dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4381: Ian Beer z tímu Google Project Zero

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Lokálny používateľ môže meniť povolenia ľubovoľných súborov

    Popis: Funkcia syslogd nasledovala symbolické odkazy pri zmene povolení súborov. Tento problém bol vyriešený vylepšením spracovávania symbolických odkazov.

    CVE-ID

    CVE-2014-4372: Tielei Wang a YeongJin Jang z centra Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Dostupné pre: Apple TV (3. generácia) a novšie

    Dosah: Útočník s oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2013-6663: Atte Kettunen zo spoločnosti OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel zo spoločnosti Google

    CVE-2014-4411: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: