Om säkerhetsinnehållet i Apple TV 7

Det här dokumentet beskriver säkerhetsinnehållet i Apple TV 7.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

Apple TV 7

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En angripare kan hämta inloggningsuppgifter till Wi-Fi

    Beskrivning: En angripare kunde efterlikna en åtkomstpunkt för Wi-Fi, erbjuda autentisering med LEAP, bryta MS-CHAPv1-hashen och använda de härledda inloggningsuppgifterna för att autentisera till den avsedda åtkomstpunkten även om denna hade stöd för starkare autentiseringsmetoder. Problemet åtgärdades genom att ta bort stödet för LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax och Wim Lamotte från Universiteit Hasselt

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En angripare med åtkomst till en enhet kan få åtkomst till känslig användarinformation från loggar

    Beskrivning: Känslig användarinformation har loggats. Problemet åtgärdades genom att mindre information loggades.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski på OP-Pohjola Group

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En angripare i en behörig nätverksposition kanske kan få en enhet att tro att den är uppdaterad, trots att så inte är fallet

    Beskrivning: Det fanns ett valideringsproblem vid hanteringen av uppdateringskontrollsvar. Datum i Senast ändrad-sidhuvudsvar förfalskades och ställdes in på ett kommande datum, vilket sedan kunde användas vid en kontroll av ändringsdatumet i en efterföljande uppdateringsbegäran. Problemet åtgärdades genom validering av Senast ändrad-sidhuvudet.

    CVE-ID

    CVE-2014-4383: Raul Siles på DinoSec

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till att appen oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Öppning av en uppsåtligt skadlig PDF-fil kan leda till att appar avslutas oväntat eller att information avslöjas

    Beskrivning: Ett problem med minnesåtkomst utanför gränsen förekom i hanteringen av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En app kan orsaka oväntade systemavslutningar

    Beskrivning: En nullpekarreferens förekom i hanteringen av IOAcceleratorFamily API-argument. Problemet åtgärdades genom förbättrad validering av IOAcceleratorFamily API-argument.

    CVE-ID

    CVE-2014-4369: Sarah även kallad winocm och Cererdlong hos Alibaba Mobile Security Team

    Lades till 3 februari 2020
  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Enheten kan startas om oväntat

    Beskrivning: IntelAccelerator-drivrutinen innehöll en NULL-pekarreferens. Problemet åtgärdades genom förbättrad felhantering.

    CVE-ID

    CVE-2014-4373: cunzhang från Adlab på Venustech

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En skadlig app kan läsa kärnpekare som kan användas för att kringgå kerneladressutrymmets slumpmässiga layout

    Beskrivning: Ett problem med läsning utanför gränserna förekom i hanteringen av en IOHIDFamily-funktion. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4379: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heap-buffertspill förekom i hanteringen av egenskaper för nyckelmappning i IOHIDFamily. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4404: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: En nullpekarreferens förekom i hanteringen av egenskaper för nyckelmappning i IOHIDFamily. Problemet åtgärdades genom förbättrad validering av egenskaperna för nyckelmappning i IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

    Beskrivning: Det fanns ett problem med skrivning utanför gränserna i kerneltillägget IOHIDFamily. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4380: cunzhang från Adlab på Venustech

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En skadlig app kan läsa oinitierade data från kärnminnet

    Beskrivning: Ett problem med åtkomst till oinitierat minne förekom i hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad minnesinitiering

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4418: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet har åtgärdats genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2014-4389: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan ta reda på schemat för kernelminnet

    Beskrivning: Flera problem med oinitierat minne förekom i gränssnittet för nätverksstatistik, vilket ledde till avslöjande av kärnminnesinnehåll. Problemet åtgärdades genom ytterligare minnesinitiering.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna hos Google Security Team

    CVE-2014-4419: Fermin J. Serna hos Google Security Team

    CVE-2014-4420: Fermin J. Serna hos Google Security Team

    CVE-2014-4421: Fermin J. Serna hos Google Security Team

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En person med en behörig nätverksposition kan orsaka att begärda tjänster nekas

    Beskrivning: Ett problem med konkurrenstillstånd förekom i hanteringen av IPv6-paket. Problemet åtgärdades genom förbättrad låsstatuskontroll.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i en kernel

    Beskrivning: Ett dubbelt fritt fel förekom i hanteringen av Mach-portar. Problemet åtgärdades genom förbättrad validering av Mach-portar.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i en kernel

    Beskrivning: Det fanns ett problem med läsning utanför gränserna i rt_setgate. Det kan leda till problem med avslöjande av minne eller minnesfel. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En del säkerhetsåtgärder för en kernel kan kringgås

    Beskrivning: Den ”tidiga” slumptalsgeneratorn som användes i vissa säkerhetsåtgärder för en kernel var inte kryptografiskt säker och en del av dess utdata synliggjordes i användarutrymmet, vilket gjorde det möjligt att kringgå säkerhetsåtgärderna. Problemet åtgärdades genom att ersätta slumptalsgeneratorn med en kryptografiskt säker algoritm och med hjälp av en 16-byte seed.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt på Azimuth Security

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En skadlig app kan köra opålitlig kod med rotbehörighet

    Beskrivning: Det fanns ett problem med skrivning utanför gränserna i Libnotify. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4381: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Det kan hända att en lokal användare kan ändra tillstånden för godtyckliga filer

    Beskrivning: syslogd följde symboliska länkar vid ändring av tillstånden för filer. Problemet löstes genom förbättrad hantering av symboliska länkar.

    CVE-ID

    CVE-2014-4372: Tielei Wang och YeongJin Jang på Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En angripare med en behörig nätverksposition kan orsaka oväntat programavslut eller körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2013-6663: Atte Kettunen från OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel från Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: