Om säkerhetsinnehållet i Apple TV 6.1
Det här dokumentet beskriver säkerhetsinnehållet i Apple TV 6.1.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
Apple TV 6.1
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: En angripare med åtkomst till en Apple TV kan få åtkomst till känslig användarinformation från loggar
Beskrivning: Känslig användarinformation har loggats. Problemet åtgärdades genom att mindre information loggades.
CVE-ID
CVE-2014-1279: David Schuetz som arbetar på Intrepidus Group
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Profilens förfallodatum respekterades inte
Beskrivning: Förfallodatum för mobilens konfigurationsprofiler utvärderades inte korrekt. Problemet åtgärdades genom förbättrad hantering av konfigurationsprofilerna.
CVE-ID
CVE-2014-1267
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Ett skadligt program kan leda till oväntad systemavslutning
Beskrivning: Ett problem med nåbar kontroll förekom i CoreCaptures hantering av IOKit API-samtal. Problemet åtgärdades genom ytterligare validering av inmatning från IOKit.
CVE-ID
CVE-2014-1271: Filippo Bigarella
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Det kan hända att en lokal användare kan ändra tillstånden för opålitliga filer
Beskrivning: CrashHouseKeeping följde symboliska länkar vid ändring av behörigheter för filer. Problemet åtgärdades genom att inte följa symboliska länkar vid ändring av behörigheter för filer.
CVE-ID
CVE-2014-1272: evad3rs
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Begäran om kodsignering kan kringgås
Beskrivning: Textförflyttningsinstruktioner i dynamiska bibliotek kan hämtas per dyld utan validering av kodsignatur. Problemet åtgärdades genom att textförflyttningsinstruktionerna ignoreras.
CVE-ID
CVE-2014-1273: evad3rs
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Visning av en uppsåtligt skapad PDF-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Buffertspill förekom vid hantering av JPEG2000-bilder i PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1275: Felix Groebert i Google Security Team
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Visning av en skadlig TIFF-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Ett buffertspill fanns i libtiffs hantering av TIFF-bilder. Detta löstes genom ytterligare validering av TIFF-bilder.
CVE-ID
CVE-2012-2088
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Visning av en skadlig JPEG-fil kan leda till spridning av minnesinnehåll
Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i libjpegs hantering av JPEG-markörer, vilket ledde till spridningen av minnesinnehåll. Problemet åtgärdades genom ytterligare validering av JPEG-filer.
CVE-ID
CVE-2013-6629: Michal Zalewski
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: En lokal användare kan orsaka oväntad systemavslutning eller exekvering av opålitlig kod i operativsystemkärnan
Beskrivning: Ett problem med minnesåtkomst utanför gränserna förekom i ARM ptmx_get_ioctl-funktionen. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1278: evad3rs
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: En konfigurationsfil kan vara dold från användaren
Beskrivning: En konfigurationsfil med ett långt namn kan ha hämtats till enheten men visades inte i gränssnittet för profilen. Problemet åtgärdades genom förbättrad hantering av profilnamn.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit och Adi Sharabani på Skycure
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: En person med fysisk åtkomst till enheten kan orsaka exekvering av godtycklig kod i operativsystemkärnan
Beskrivning: Ett problem med minneskorruption förekom i hanteringen av USB-meddelanden. Problemet åtgärdades genom ytterligare validering av USB-meddelanden.
CVE-ID
CVE-2014-1287: Andy Davis på NCC Group
WebKit
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2013-2909: Atte Kettunen på OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome Security Team
CVE-2013-5196: Google Chrome Security Team
CVE-2013-5197: Google Chrome Security Team
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome Security Team
CVE-2013-5228: Keen Team (@K33nTeam) i samarbete med HP:s Zero Day Initiative
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) i samarbete med HP:s Zero Day Initiative, Google Chrome Security Team
CVE-2014-1291: Google Chrome Security Team
CVE-2014-1292: Google Chrome Security Team
CVE-2014-1293: Google Chrome Security Team
CVE-2014-1294: Google Chrome Security Team
Apple TV
Tillgänglig för: Apple TV (2:a generationen och senare)
Effekt: Uppspelning av en skadlig video kan leda till att enheten inte svarar
Beskrivning: Ett problem med nullreferens förekom i hanteringen av MPEG-4-kodade filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-1280: rg0rd
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.