Obsah zabezpečenia aktualizácie softvéru Apple TV 4.4
V tomto dokumente sa opisuje obsah zabezpečenia aktualizácie softvéru Apple TV 4.4.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia od spoločnosti Apple.
Aktualizácia softvéru Apple TV 4.4
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Útočník s privilegovanými oprávneniami v sieti môže byť schopný zachytiť prihlasovacie údaje používateľa alebo iné citlivé informácie
Opis: Viaceré certifikačné autority prevádzkované spoločnosťou DigiNotar vydali podvodné certifikáty. Tento problém bol vyriešený odstránením spoločnosti DigiNotar zo zoznamu dôveryhodných koreňových certifikátov a zo zoznamu certifikačných autorít s rozšírením overovaním (EV) a nakonfigurovaním predvolených systémových nastavení dôveryhodnosti tak, aby certifikáty spoločnosti DigiNotar (vrátane certifikátov vydaných inými autoritami) neboli považované za dôveryhodné.
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Podpora certifikátov X.509 s algoritmami hash MD5 môže pri zdokonalených útokoch vystaviť používateľov falšovaniu a úniku informácií
Opis: Systém iOS akceptoval certifikáty podpísané pomocou algoritmu hash MD5. Tento algoritmus má známe kryptografické slabiny. Ďalší prieskum alebo nesprávne nakonfigurovaná certifikačná autorita mohla povoliť vytvorenie certifikátov X.509 s hodnotami ovládanými útočníkom, ktorým by systém dôveroval. Protokoly založené na štandarde X.509 by tým boli vystavené falšovaniu, útokom typu MITM (man-in-the-middle) a úniku informácií. Táto aktualizácia zakazuje podporu certifikátu X.509 s algoritmom hash MD5. Tento certifikát možno použiť len ako dôveryhodný koreňový certifikát.
CVE-ID
CVE-2011-3427
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Útočník by mohol dešifrovať časť pripojenia SSL
Opis: Boli podporované len verzie SSLv3 a TLS 1.0 protokolu SSL. Tieto verzie obsahovali protokol s nedostatočne zabezpečený miestami, ktoré sa prejavili pri použitých blokových šifier. Útočník využívajúcich útok typu MITM (man-in-the-middle) mohol vkladať neplatné dáta, spôsobiť ukončenie pripojenia a odhaliť informácie týkajúce sa predchádzajúcich dát. Ak sa pokus o pripojenie vykonal opakovane, útočník mohol byť schopný dešifrovať odosielané dáta, napríklad heslo. Tento problém bol vyriešený pridaním podpory protokolu TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Opis: Pri spracúvaní obrázkov TIFF s kódovaním CCITT Group 4 prostredníctvom knižnice libTIFF dochádzalo k pretečeniu medzipamäte.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Opis: Pri spracúvaní obrázkov TIFF s kódovaním CCITT Group 4 súčasťou ImageIO dochádzalo k pretečeniu medzipamäte haldy.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX zo spoločnosti Tessi Technologies
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Vzdialený útočník môže spôsobiť resetovanie zariadenia
Opis: Jadro nebolo schopné rýchlo obnoviť pamäť z neúplných pripojení TCP. Útočníkovi s možnosťou pripojenia k službe načúvania v zariadení so systémom iOS to mohlo umožniť vyčerpať systémové prostriedky.
CVE-ID
CVE-2011-3259: Wouter van der Veer zo spoločnosti Topicus I&I a Josh Enders
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Útočník s privilegovanými oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Opis: Pri spracúvaní údajov XML prostredníctvom knižnice libxml dochádzalo k pretečeniu medzipamäte haldy o jeden bajt.
CVE-ID
CVE-2011-0216: Billy Rios z tímu spoločnosti Google pre zabezpečenie
Apple TV
Dostupné pre: Apple TV 4.0 až 4.3
Dosah: Útočník s privilegovanými oprávneniami v sieti môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Opis: V JavaScriptCore dochádzalo k problému súvisiacemu s poškodením pamäte.
CVE-ID
CVE-2011-3232: Aki Helin zo spoločnosti OUSPG
Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.