Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.
Apple TV 7
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En angripare kan hämta inloggningsuppgifter till Wi-Fi
Beskrivning: En angripare kunde efterlikna en åtkomstpunkt för Wi-Fi, erbjuda autentisering med LEAP, bryta MS-CHAPv1-hashen och använda de härledda inloggningsuppgifterna för att autentisera till den avsedda åtkomstpunkten även om denna hade stöd för starkare autentiseringsmetoder. Problemet åtgärdades genom att ta bort stödet för LEAP.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax och Wim Lamotte från Universiteit Hasselt
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En angripare med åtkomst till en enhet kan få åtkomst till känslig användarinformation från loggar
Beskrivning: Känslig användarinformation har loggats. Problemet åtgärdades genom att mindre information loggades.
CVE-ID
CVE-2014-4357: Heli Myllykoski på OP-Pohjola Group
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En angripare i en behörig nätverksposition kanske kan få en enhet att tro att den är uppdaterad, trots att så inte är fallet
Beskrivning: Det fanns ett valideringsproblem vid hanteringen av uppdateringskontrollsvar. Datum i Senast ändrad-sidhuvudsvar förfalskades och ställdes in på ett kommande datum, vilket sedan kunde användas vid en kontroll av ändringsdatumet i en efterföljande uppdateringsbegäran. Problemet åtgärdades genom validering av Senast ändrad-sidhuvudet.
CVE-ID
CVE-2014-4383: Raul Siles på DinoSec
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till att appen oväntat avslutas eller att opålitlig kod körs
Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Öppning av en uppsåtligt skadlig PDF-fil kan leda till att appar avslutas oväntat eller att information avslöjas
Beskrivning: Ett problem med minnesåtkomst utanför gränsen förekom i hanteringen av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet
- Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En app kan orsaka oväntade systemavslutningar
Beskrivning: En nullpekarreferens förekom i hanteringen av IOAcceleratorFamily API-argument. Problemet åtgärdades genom förbättrad validering av IOAcceleratorFamily API-argument.
CVE-ID
CVE-2014-4369: Sarah även kallad winocm och Cererdlong hos Alibaba Mobile Security Team
Lades till 3 februari 2020
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Enheten kan startas om oväntat
Beskrivning: IntelAccelerator-drivrutinen innehöll en NULL-pekarreferens. Problemet åtgärdades genom förbättrad felhantering.
CVE-ID
CVE-2014-4373: cunzhang från Adlab på Venustech
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En skadlig app kan läsa kärnpekare som kan användas för att kringgå kerneladressutrymmets slumpmässiga layout
Beskrivning: Ett problem med läsning utanför gränserna förekom i hanteringen av en IOHIDFamily-funktion. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4379: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heap-buffertspill förekom i hanteringen av egenskaper för nyckelmappning i IOHIDFamily. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4404: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: En nullpekarreferens förekom i hanteringen av egenskaper för nyckelmappning i IOHIDFamily. Problemet åtgärdades genom förbättrad validering av egenskaperna för nyckelmappning i IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Det fanns ett problem med skrivning utanför gränserna i kerneltillägget IOHIDFamily. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4380: cunzhang från Adlab på Venustech
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En skadlig app kan läsa oinitierade data från kärnminnet
Beskrivning: Ett problem med åtkomst till oinitierat minne förekom i hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad minnesinitiering
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.
CVE-ID
CVE-2014-4418: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet har åtgärdats genom förbättrad validering av IOKit API-argument.
CVE-ID
CVE-2014-4389: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Flera problem med oinitierat minne förekom i gränssnittet för nätverksstatistik, vilket ledde till avslöjande av kärnminnesinnehåll. Problemet åtgärdades genom ytterligare minnesinitiering.
CVE-ID
CVE-2014-4371: Fermin J. Serna hos Google Security Team
CVE-2014-4419: Fermin J. Serna hos Google Security Team
CVE-2014-4420: Fermin J. Serna hos Google Security Team
CVE-2014-4421: Fermin J. Serna hos Google Security Team
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En person med en behörig nätverksposition kan orsaka att begärda tjänster nekas
Beskrivning: Ett problem med konkurrenstillstånd förekom i hanteringen av IPv6-paket. Problemet åtgärdades genom förbättrad låsstatuskontroll.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i en kernel
Beskrivning: Ett dubbelt fritt fel förekom i hanteringen av Mach-portar. Problemet åtgärdades genom förbättrad validering av Mach-portar.
CVE-ID
CVE-2014-4375
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i en kernel
Beskrivning: Det fanns ett problem med läsning utanför gränserna i rt_setgate. Det kan leda till problem med avslöjande av minne eller minnesfel. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4408
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En del säkerhetsåtgärder för en kernel kan kringgås
Beskrivning: Den ”tidiga” slumptalsgeneratorn som användes i vissa säkerhetsåtgärder för en kernel var inte kryptografiskt säker och en del av dess utdata synliggjordes i användarutrymmet, vilket gjorde det möjligt att kringgå säkerhetsåtgärderna. Problemet åtgärdades genom att ersätta slumptalsgeneratorn med en kryptografiskt säker algoritm och med hjälp av en 16-byte seed.
CVE-ID
CVE-2014-4422: Tarjei Mandt på Azimuth Security
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En skadlig app kan köra opålitlig kod med rotbehörighet
Beskrivning: Det fanns ett problem med skrivning utanför gränserna i Libnotify. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4381: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Det kan hända att en lokal användare kan ändra tillstånden för godtyckliga filer
Beskrivning: syslogd följde symboliska länkar vid ändring av tillstånden för filer. Problemet löstes genom förbättrad hantering av symboliska länkar.
CVE-ID
CVE-2014-4372: Tielei Wang och YeongJin Jang på Georgia Tech Information Security Center (GTISC)
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En angripare med en behörig nätverksposition kan orsaka oväntat programavslut eller körning av opålitlig kod
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2013-6663: Atte Kettunen från OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel från Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple