Om säkerhetsinnehållet till Apple TV 7.2.1
Detta dokument beskriver säkerhetsinnehållet i Apple TV 7.2.1
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
Apple TV 7.2.1
bootp
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Det kan hända att ett bedrägligt Wi-Fi-nätverk kan avgöra vilka nätverk en enhet har anslutits till tidigare
Beskrivning: Vid anslutning till ett Wi-Fi-nätverk kan det hända att iOS sänder MAC-adresser för nätverk som det tidigare anslutit till via DNAv4-protokollet. Problemet åtgärdades genom att inaktivera DNAv4 på icke-krypterade Wi-Fi-nätverk.
CVE-ID
CVE-2015-3778: Piers O'Hanlon på Oxford Internet Institute, University of Oxford (i EPSRC Being There-projektet)
CloudKit
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Ett skadligt program kan komma åt iCloud-användarhistorik för en tidigare inloggad användare
Beskrivning: En lägesinkonsekvens förekom i CloudKit när användare loggades ut. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-3782: Deepkanwal Plaha på University of Toronto
CFPreferences
Tillgänglig för: Apple TV (3:e generationen)
Effekt: En skadlig app kan läsa hanterade inställningar för andra appar
Beskrivning: Ett problem fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen för tredje part.
CVE-ID
CVE-2015-3793: Andreas Weinlein på Appthority Mobility Threat Team
Kodsignering
Tillgänglig för: Apple TV (3:e generationen)
Effekt: En skadlig app kan köra osignerad kod
Beskrivning: Det förekom ett problem som ledde till att osignerad kod lades till i signerad kod i en speciellt utformad körbar fil. Problemet åtgärdades genom förbättrad validering av kodsignatur.
CVE-ID
CVE-2015-3806: TaiG Jailbreak Team
Kodsignering
Tillgänglig för: Apple TV (3:e generationen)
Effekt: En speciellt utformad körbar fil kunde tillåta att osignerad och skadlig kod kördes
Beskrivning: Ett problem förekom i hur körbara filer inom flera arkitekturer utvärderades som kunde leda till att osignerad kod kördes. Det här problemet åtgärdades genom förbättrad validering av körbara filer.
CVE-ID
CVE-2015-3803: TaiG Jailbreak Team
Kodsignering
Tillgänglig för: Apple TV (3:e generationen)
Effekt: En lokal användare kan exekvera osignerad kod
Beskrivning: Ett valideringsproblem förekom i hanteringen av Mach-O-filer. Det åtgärdades genom utökade kontroller.
CVE-ID
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
Uppspelning av CoreMedia
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett minnesfel förekom i CoreMedia Playback. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
DiskImages
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Öppning av en uppsåtligt skapad DMG-fil kan leda till oväntad programavslutning eller körning av opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel förekom vid tolkning av felformaterade DMG-avbilder. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3800: Frank Graziano på Yahoo Pentest Team
FontParser
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-3804: Apple
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5775: Apple
ImageIO
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Bearbetning av en uppsåtligt skapad TIFF-fil kan leda till oväntad programavslutning eller att opålitlig kod körs
Beskrivning: Ett minnesfel förekom i bearbetning av TIFF-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-5758: Apple
ImageIO
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Tolkning av skadligt webbinnehåll kan leda till att processminnet avslöjas
Beskrivning: Det förekom ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av PNG-bilder. Det här problemet åtgärdades genom bättre minneshantering och ytterligare validering av PNG-bilder.
CVE-ID
CVE-2015-5781: Michal Zalewski
ImageIO
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Tolkning av skadligt webbinnehåll kan leda till att processminnet avslöjas
Beskrivning: Det förekom ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av TIFF-bilder. Det här problemet åtgärdas genom bättre minneshantering och ytterligare validering av TIFF-bilder.
CVE-ID
CVE-2015-5782: Michal Zalewski
IOKit
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Tolkning av en uppsåtligt skapad plist kan leda till oväntad programavslutning eller körning av opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i bearbetningen av felformaterade plister. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3776: Teddy Reed på Facebook Security, Patrick Stein (@jollyjinx) på Jinx Germany
IOHIDFamily
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Ett buffertspillproblem förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5774: TaiG Jailbreak Team
Kärna
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Ett skadligt program kan ta reda på layouten för kernelminnet
Beskrivning: Ett fel förekom i mach_port_space_info-gränssnittet, vilket kunde leda till att schemat för kärnminnet avslöjades. Det åtgärdades genom att inaktivera mach_port_space_info-gränssnittet.
CVE-ID
CVE-2015-3766: Cererdlong på Alibaba Mobile Security Team, @PanguTeam
Kärna
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad validering av IOKit API-argument.
CVE-ID
CVE-2015-3768: Ilja van Sprundel
Libc
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Öppning av ett uppsåtligt skapat reguljärt uttryck kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i TRE-biblioteket. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3796: Ian Beer på Google Project Zero
CVE-2015-3797: Ian Beer på Google Project Zero
CVE-2015-3798: Ian Beer på Google Project Zero
Libinfo
Tillgänglig för: Apple TV (3:e generationen)
Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller godtycklig kodkörning.
Beskrivning: Ett minnesfel förekom i hanteringen av AF_INET6-uttag. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5776: Apple
libpthread
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i hanteringen av systemanrop. Problemet åtgärdades genom förbättrad låsstatuskontroll.
CVE-ID
CVE-2015-5757: Lufeng Li på Qihoo 360
libxml2
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas
Beskrivning: Det fanns ett minnesfel under tolkningen av XML-filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3807: Michal Zalewski
libxml2
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Flera sårbarheter förekom i libxml2-versioner äldre än 2.9.2, varav den allvarligaste kan leda till att en fjärrangripare kan orsaka att tjänster nekas
Beskrivning: Flera sårbarheter förekom i libxml2-versioner äldre än 2.9.2. De hanterades genom att uppdatera libxml2 till version 2.9.2.
CVE-ID
CVE-2012-6685: Felix Groebert på Google
CVE-2014-0191: Felix Groebert på Google
CVE-2014-3660: Felix Groebert på Google
libxpc
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i hanteringen av felformaterade XPC-meddelanden. Problemet förbättrades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-3795: Mathew Rowley
libxslt
Tillgänglig för: Apple TV (4:e generationen)
Effekt: Att öppna en skadlig XML-fil kan leda till godtycklig kodkörning
Beskrivning: Ett problem med sammanblandning av typer förekom i libxslt. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7995: puzzor
Location Framework
Tillgänglig för: Apple TV (3:e generationen)
Effekt: En lokal användare kan ändra skyddade delar av filsystemet
Beskrivning: Ett problem med en symbollänk hanterades genom förbättrad sökvägsvalidering.
CVE-ID
CVE-2015-3759: Cererdlong på Alibaba Mobile Security Team
Office Viewer
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Tolkning av en skadlig XML-fil kan leda till att användarinformation avslöjas
Beskrivning: Det fanns ett problem med External Entity-referenser vid tolkning av XML-filer. Det här problemet åtgärdades genom förbättrad tolkning.
CVE-ID
CVE-2015-3784: Bruno Morisson på INTEGRITY S.A.
QL Office
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Tolkning av ett Office-dokument med skadligt innehåll kan leda till att ett program avslutas oväntat eller körning av opålitlig kod
Beskrivning: Det fanns ett minnesfel i tolkningen av Office-dokument. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5773: Apple
Sandbox_profiles
Tillgänglig för: Apple TV (3:e generationen)
Effekt: En skadlig app kan läsa hanterade inställningar för andra appar
Beskrivning: Ett problem fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen för tredje part.
CVE-ID
CVE-2015-5749: Andreas Weinlein på Appthority Mobility Threat Team
WebKit
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Öppning av skadligt webbinnehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3730: Apple
CVE-2015-3731: Apple
CVE-2015-3732: Apple
CVE-2015-3733: Apple
CVE-2015-3734: Apple
CVE-2015-3735: Apple
CVE-2015-3736: Apple
CVE-2015-3737: Apple
CVE-2015-3738: Apple
CVE-2015-3739: Apple
CVE-2015-3740: Apple
CVE-2015-3741: Apple
CVE-2015-3742: Apple
CVE-2015-3743: Apple
CVE-2015-3744: Apple
CVE-2015-3745: Apple
CVE-2015-3746: Apple
CVE-2015-3747: Apple
CVE-2015-3748: Apple
CVE-2015-3749: Apple
WebKit
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Skadligt webbinnehåll kan komma åt bilddata från flera källor
Beskrivning: Bilder som hämtas via webbadresser som omdirigerar till en data:image-resurs kan nås från flera källor. Problemet åtgärdades genom förbättrad spårning av canvas taint.
CVE-ID
CVE-2015-3753: Antonio Sanso och Damien Antipa på Adobe
WebKit
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Skadligt webbinnehåll kan utlösa plaintext-förfrågningar till ett ursprung med HTTP Strict Transport Security
Beskrivning: Ett problem förekom som ledde till att Content Security Policy-rapportförfrågningar inte tillämpade HTTP Strict Transport Security (HSTS). Problemet hanterades genom att tillämpa HSTS för CSP.
CVE-ID
CVE-2015-3750: Muneaki Nishimura (nishimunea)
WebKit
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Content Security Policy-rapportförfrågningar kan läcka cookies
Beskrivning: Två problem förekom med hur cookies lades till i Content Security Policy-rapportförfrågningar. Cookies skickades i cross-origin-rapportförfrågningar i strid mot standardinställningen. Cookies som ställts in under vanlig surfning skickades under privat surfning. Dessa problem åtgärdades genom förbättrad hantering av cookies.
CVE-ID
CVE-2015-3752: Muneaki Nishimura (nishimunea)
WebKit
Tillgänglig för: Apple TV (3:e generationen)
Effekt: Laddning av bilder kan strida mot en webbplats Content Security Policy-direktiv
Beskrivning: Det förekom ett problem som ledde till att webbinnehåll med videoreglage läste in bilder som var inbäddade i objektelement i strid mot webbplatsens Content Security Policy-direktiv. Problemet hanterades genom förbättrad efterlevnad av Content Security Policy.
CVE-ID
CVE-2015-3751: Muneaki Nishimura (nishimunea)
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.