Om säkerhetsinnehållet i Apple TV-programuppdatering 4.4

Det här dokumentet beskriver säkerhetsinnehållet i Apple TV-programuppdatering 4.4.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Apple TV-programuppdatering 4.4

  • Apple TV

    Tillgängligt för: Apple TV 4.0 till och med 4.3

    Effekt: En angripare med en behörig nätverksposition kan få tag i inloggningsuppgifter eller annan känslig information

    Beskrivning: Bedrägliga certifikat har utfärdats av flera certifikatutfärdare som drivs av DigiNotar. Problemet åtgärdas genom borttagning av DigiNotar från listan över betrodda rotcertifikat, från listan över EV-certifikatutfärdare (Extended Validation) och genom konfiguration av systemets förvalda betroddhetsinställningar så att DigiNotars certifikat, inklusive de som utfärdats av andra utfärdare, markeras som inte betrodda.

  • Apple TV

    Tillgängligt för: Apple TV 4.0 till och med 4.3

    Effekt: Stöd för X.509-certifikat med MD5-hashar kan utsätta användare för förfalskning och avslöjande av information när angreppen blir bättre

    Beskrivning: Certifikat som signerats med MD5-hashalgoritmen godtogs i iOS. Den här algoritmen har kända kryptografiska brister. Vidare forskning eller en felkonfigurerad certifikatutfärdare kunde ha tillåtit att X.509-certifikat skapades med angriparkontrollerade värden som systemet skulle ha behandlat som betrodda. Detta skulle ha utsatt X.509-baserade protokoll för förfalskning, man-i-mitten-angrepp och avslöjande av information. Denna uppdatering avaktiverar stödet för ett X.509-certifikat med en MD5-hash för all annan användning än som ett betrott root-certifikat.

    CVE-ID

    CVE-2011-3427

  • Apple TV

    Tillgängligt för: Apple TV 4.0 till och med 4.3

    Effekt: En angripare kunde dekryptera en del av en SSL-anslutning

    Beskrivning: Endast SSLv3- och TLS 1.0-versionerna av SSL stöddes. Dessa versioner har en svaghet i protokollet när blockchiffer används. En man-i-mitten-angripare kunde ha injicerat ogiltiga data som fick anslutningen att stängas ned men avslöjade information om tidigare data. Om angriparen flera gånger försökte upprätta samma anslutning kunde hen kanske till slut dekryptera de data som skickades, till exempel ett lösenord. Problemet åtgärdades genom tillägg av stöd för TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    Tillgängligt för: Apple TV 4.0 till och med 4.3

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett buffertspill förekom i libTIFF:s hantering av CCITT Group 4-kodade TIF-bilder.

    CVE-ID

    CVE-2011-0192: Apple

  • Apple TV

    Tillgängligt för: Apple TV 4.0 till och med 4.3

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heapbuffertspill förekom in ImageIO:s hantering av CCITT Group 4-kodade TIFF-bilder.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX på Tessi Technologies

  • Apple TV

    Tillgängligt för: Apple TV 4.0 till och med 4.3

    Effekt: En fjärrangripare kan orsaka nollställning av enheten

    Beskrivning: En kernel misslyckades med att snabbt ta tillbaka minne från ofullständiga TCP-anslutningar. En angripare med förmåga att ansluta till en lyssningstjänst på en iOS-enhet kunde uttömma systemresurserna.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer på Topicus I&I och Josh Enders

  • Apple TV

    Tillgängligt för: Apple TV 4.0 till och med 4.3

    Effekt: En angripare med en behörig nätverksposition kan orsaka en oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett heapbuffertspill på en byte förekom i libxmls hantering av XML-data.

    CVE-ID

    CVE-2011-0216: Billy Rios på Google Security Team

  • Apple TV

    Tillgängligt för: Apple TV 4.0 till och med 4.3

    Effekt: En angripare med en behörig nätverksposition kan orsaka en oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett problem med skadat minne förekom i JavaScriptCore.

    CVE-ID

    CVE-2011-3232: Aki Helin på OUSPG

Viktigt! Omnämnandet av webbplatser och produkter från tredje part görs endast i informationssyfte och är inte att betrakta som rekommendationer eller stöd. Apple tar inget ansvar för valet eller nyttjandet av information eller produkter från tredje part och inte heller för produkternas prestanda. Apple tillhandahåller detta endast för att underlätta för våra användare. Apple har inte testat informationen på dessa webbplatser och garanterar inte att den är korrekt eller tillförlitlig. Det finns risker med användningen av all information och alla produkter som finns på internet, och Apple tar inget ansvar i detta avseende. Observera att en tredje parts webbplats är oberoende av Apple och att Apple inte har någon kontroll över innehållet på den webbplatsen. Kontakta säljaren för ytterligare information.

Publiceringsdatum: