Obsah zabezpečenia aktualizácie softvéru Apple TV 4.4
V tomto dokumente sa opisuje obsah zabezpečenia aktualizácie softvéru Apple TV 4.4.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia od spoločnosti Apple.
Aktualizácia softvéru Apple TV 4.4
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Útočník s privilegovanými oprávneniami v sieti môže byť schopný zachytiť prihlasovacie údaje používateľa alebo iné citlivé informácie
Opis: Viaceré certifikačné autority prevádzkované spoločnosťou DigiNotar vydali podvodné certifikáty. Tento problém bol vyriešený odstránením spoločnosti DigiNotar zo zoznamu dôveryhodných koreňových certifikátov a zo zoznamu certifikačných autorít s rozšírením overovaním (EV) a nakonfigurovaním predvolených systémových nastavení dôveryhodnosti tak, aby certifikáty spoločnosti DigiNotar (vrátane certifikátov vydaných inými autoritami) neboli považované za dôveryhodné.
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Podpora certifikátov X.509 s algoritmami hash MD5 môže pri zdokonalených útokoch vystaviť používateľov falšovaniu a úniku informácií
Opis: Systém iOS akceptoval certifikáty podpísané pomocou algoritmu hash MD5. Tento algoritmus má známe kryptografické slabiny. Ďalší prieskum alebo nesprávne nakonfigurovaná certifikačná autorita mohla povoliť vytvorenie certifikátov X.509 s hodnotami ovládanými útočníkom, ktorým by systém dôveroval. Protokoly založené na štandarde X.509 by tým boli vystavené falšovaniu, útokom typu MITM (man-in-the-middle) a úniku informácií. Táto aktualizácia zakazuje podporu certifikátu X.509 s algoritmom hash MD5. Tento certifikát možno použiť len ako dôveryhodný koreňový certifikát.
CVE-ID
CVE-2011-3427
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Útočník by mohol dešifrovať časť pripojenia SSL
Opis: Boli podporované len verzie SSLv3 a TLS 1.0 protokolu SSL. Tieto verzie obsahovali protokol s nedostatočne zabezpečený miestami, ktoré sa prejavili pri použitých blokových šifier. Útočník využívajúcich útok typu MITM (man-in-the-middle) mohol vkladať neplatné dáta, spôsobiť ukončenie pripojenia a odhaliť informácie týkajúce sa predchádzajúcich dát. Ak sa pokus o pripojenie vykonal opakovane, útočník mohol byť schopný dešifrovať odosielané dáta, napríklad heslo. Tento problém bol vyriešený pridaním podpory protokolu TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Opis: Pri spracúvaní obrázkov TIFF s kódovaním CCITT Group 4 prostredníctvom knižnice libTIFF dochádzalo k pretečeniu medzipamäte.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Opis: Pri spracúvaní obrázkov TIFF s kódovaním CCITT Group 4 súčasťou ImageIO dochádzalo k pretečeniu medzipamäte haldy.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX zo spoločnosti Tessi Technologies
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Vzdialený útočník môže spôsobiť resetovanie zariadenia
Opis: Jadro nebolo schopné rýchlo obnoviť pamäť z neúplných pripojení TCP. Útočníkovi s možnosťou pripojenia k službe načúvania v zariadení so systémom iOS to mohlo umožniť vyčerpať systémové prostriedky.
CVE-ID
CVE-2011-3259: Wouter van der Veer zo spoločnosti Topicus I&I a Josh Enders
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Útočník s privilegovanými oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Opis: Pri spracúvaní údajov XML prostredníctvom knižnice libxml dochádzalo k pretečeniu medzipamäte haldy o jeden bajt.
CVE-ID
CVE-2011-0216: Billy Rios z tímu spoločnosti Google pre zabezpečenie
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Útočník s privilegovanými oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Opis: V JavaScriptCore dochádzalo k problému súvisiacemu s poškodením pamäte.
CVE-ID
CVE-2011-3232: Aki Helin zo spoločnosti OUSPG
Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.