Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
Apple TV 7
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Útočník môže získať prihlasovacie údaje Wi-Fi siete
Popis: Útočník mohol predstierať identitu prístupového bodu Wi-Fi, ponúkať overenie protokolom LEAP, prelomiť hodnotu hash MS-CHAPv1 a pomocou odvodených prihlasovacích údajov sa overiť na príslušnom prístupovom bode, a to aj v prípade, že daný prístupový bod podporoval metódy overenia so silnejším zabezpečením. Tento problém bol vyriešený odstránením podpory protokolu LEAP.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax a Wim Lamotte z univerzity v Hasselte
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Útočník s prístupom k zariadeniu so systémom môže získať prístup k citlivým informáciám o používateľovi z denníkov
Popis: Do denníkov sa zapisovali citlivé informácie o používateľovi. Tento problém bol vyriešený zapisovaním menšieho objemu údajov do denníkov.
CVE-ID
CVE-2014-4357: Heli Myllykoski zo skupiny OP-Pohjola Group
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Útočník s oprávneniami v sieti môže spôsobiť, že zariadenie sa považuje za aktualizované, aj keď nie je
Popis: Pri spracovávaní odpovedí pri kontrole aktualizácií dochádzalo k problému s overením. Pre kontroly If-Modified-Since v ďalších požiadavkách na aktualizáciu sa používali pozmenené dátumy z hlavičiek odpovedí Last-Modified nastavené na dátumy v budúcnosti. Tento problém bol vyriešený overovaním hlavičky Last-Modified.
CVE-ID
CVE-2014-4383: Raul Siles zo spoločnosti DinoSec
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní PDF súborov dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano zo spoločnosti Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo sprístupneniu informácií
Popis: Pri spracovávaní PDF súborov dochádzalo k čítaniu dát v zakázaných oblastiach pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano zo spoločnosti Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program
- Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia môže spôsobiť neočakávané ukončenie systému
Popis: Pri spracovávaní argumentov funkcie IOAcceleratorFamily rozhrania API dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením overovania argumentov funkcie IOAcceleratorFamily rozhrania API.
CVE-ID
CVE-2014-4369: Sarah (alias winocm) a Cererdlong z tímu Alibaba Mobile Security Team
Dátum pridania záznamu: 3. februára 2020
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Zariadenie sa môže neočakávane reštartovať
Popis: V ovládači IntelAccelerator dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením spracovávania chýb.
CVE-ID
CVE-2014-4373: cunzhang z laboratória Adlab spoločnosti Venustech
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže čítať smerníky jadra, pomocou ktorých možno obísť náhodné usporiadanie rozloženia priestoru adries jadra
Popis: Pri spracovávaní funkcie IOHIDFamily dochádzalo k problému s čítaním dát v zakázaných oblastiach. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4379: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracovávaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4404: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracovávaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením overovania vlastností priradenia kľúčov funkcie IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: V rozšírení jadra IOHIDFamily dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4380: cunzhang z laboratória Adlab spoločnosti Venustech
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže čítať neinicializované dáta z pamäte jadra
Popis: Pri spracovávaní funkcií IOKit dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte.
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracovávaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.
CVE-ID
CVE-2014-4418: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracovávaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracovávaní funkcií IOKit dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením overovania argumentov funkcií IOKit rozhrania API.
CVE-ID
CVE-2014-4389: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Lokálny používateľ môže určiť rozloženie pamäte jadra
Popis: V rozhraní štatistiky siete dochádzalo k viacerým problémom s neinicializovanou pamäťou, ktoré viedli k sprístupneniu obsahu pamäte jadra. Tieto problémy boli vyriešené dodatočnou inicializáciou pamäte.
CVE-ID
CVE-2014-4371: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie
CVE-2014-4419: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie
CVE-2014-4420: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie
CVE-2014-4421: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Osoba s oprávneniami v sieti môže spôsobiť odmietnutie služby
Popis: Pri spracovávaní paketov protokolu IPv6 dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vylepšením kontroly stavu uzamknutia.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre
Popis: Pri spracovávaní portov Mach dochádzalo k problému s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením overovania portov Mach.
CVE-ID
CVE-2014-4375
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre
Popis: Vo funkcii rt_setgate dochádzalo k problému s čítaním dát v zakázaných oblastiach, čo mohlo viesť k sprístupneniu obsahu alebo poškodeniu pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4408
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Niektoré opatrenia na zvýšenie úrovne zabezpečenia jadra možno obísť
Popis: Generátor náhodných čísel používaný v rámci opatrení na zvýšenie úrovne zabezpečenia jadra na začiatku procesu spúšťania systému nebol kryptograficky zabezpečený a časť jeho výstupu bola odhalená v priestore používateľa, čo umožnilo tieto opatrenia obísť. Tento problém bol vyriešený nahradením generátora náhodných čísel kryptograficky bezpečným algoritmom a používaním 16-bajtovej šifry.
CVE-ID
CVE-2014-4422: Tarjei Mandt zo spoločnosti Azimuth Security
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami koreňového používateľa
Popis: V knižnici Libnotify dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-4381: Ian Beer z tímu Google Project Zero
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Lokálny používateľ môže meniť povolenia ľubovoľných súborov
Popis: Funkcia syslogd nasledovala symbolické odkazy pri zmene povolení súborov. Tento problém bol vyriešený vylepšením spracovávania symbolických odkazov.
CVE-ID
CVE-2014-4372: Tielei Wang a YeongJin Jang z centra Georgia Tech Information Security Center (GTISC)
Apple TV
Dostupné pre: Apple TV (3. generácia) a novšie
Dopad: Útočník s oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2013-6663: Atte Kettunen zo spoločnosti OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel zo spoločnosti Google
CVE-2014-4411: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple