Om säkerhetsinnehållet i Apple TV 7

Det här dokumentet beskriver säkerhetsinnehållet i Apple TV 7.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

Apple TV 7

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En angripare kan hämta inloggningsuppgifter till Wi-Fi

    Beskrivning: En angripare kunde efterlikna en åtkomstpunkt för Wi-Fi, erbjuda autentisering med LEAP, bryta MS-CHAPv1-hashen och använda de härledda inloggningsuppgifterna för att autentisera till den avsedda åtkomstpunkten även om denna hade stöd för starkare autentiseringsmetoder. Problemet åtgärdades genom att ta bort stödet för LEAP.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax och Wim Lamotte från Universiteit Hasselt

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En angripare med åtkomst till en enhet kan få åtkomst till känslig användarinformation från loggar

    Beskrivning: Känslig användarinformation har loggats. Problemet åtgärdades genom att mindre information loggades.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski på OP-Pohjola Group

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En angripare i en privilegierad nätverksposition kanske kan få en enhet att tro att den är uppdaterad, trots att så inte är fallet

    Beskrivning: Det fanns ett valideringsproblem vid hanteringen av uppdateringskontrollsvar. Datum i Senast ändrad-sidhuvudsvar förfalskades och ställdes in på ett kommande datum, vilket sedan kunde användas vid en kontroll av ändringsdatumet i en efterföljande uppdateringsbegäran. Problemet åtgärdades genom validering av Senast ändrad-sidhuvudet.

    CVE-ID

    CVE-2014-4383: Raul Siles på DinoSec

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Öppning av en uppsåtligt skadlig PDF-fil kan leda till att program avslutas oväntat eller avslöjande av information

    Beskrivning: Ett problem med minnesåtkomst utanför gränsen förekom i hanteringen av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett program kan orsaka oväntade systemavslutningar

    Beskrivning: En nollpekarreferens förekom i hanteringen avIOAcceleratorFamily API-argument. Problemet åtgärdades genom förbättrad validering av IOAcceleratorFamily API-argument.

    CVE-ID

    CVE-2014-4369: Catherine även kallad winocm och Cererdlong hos Alibaba Mobile Security Team

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Enheten kan startas om oväntat

    Beskrivning: IntelAccelerator-drivrutinen innehöll en NULL-pekarreferens. Problemet åtgärdades genom förbättrad felhantering.

    CVE-ID

    CVE-2014-4373: cunzhang från Adlab of Venustech

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan läsa kärnpekare som kan användas för att kringgå kärnadressutrymmets slumpmässiga layout

    Beskrivning: Ett out-of-bounds-läsproblem förekom i hanteringen av en IOHIDFamily-funktion. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4379: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heap-buffertspill förekom i hanteringen av egenskaper för nyckelmappning i IOHIDFamily. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4404: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: En nollpekarreferens förekom i hanteringen av egenskaper för nyckelmappning i IOHIDFamily. Problemet åtgärdades genom förbättrad validering av egenskaperna för nyckelmappning i IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med kärnprivilegier

    Beskrivning: Det fanns ett problem med skrivning utanför gränserna i kärntillägget IOHIDFamily. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4380: cunzhang från Adlab of Venustech

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan läsa oinitierade data från kärnminnet

    Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad minnesinitiering

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4418: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2014-4389: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan ta reda på schemat för kärnminnet

    Beskrivning: Flera oinitierade minnesproblem förekom i gränssnittet för nätverksstatistik, vilket ledde till avslöjande av kärnminnesinnehåll. Problemet åtgärdades genom ytterligare minnesinitiering.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna hos Google Security Team

    CVE-2014-4419: Fermin J. Serna hos Google Security Team

    CVE-2014-4420: Fermin J. Serna hos Google Security Team

    CVE-2014-4421: Fermin J. Serna hos Google Security Team

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En person med en privilegierad nätverksposition kan orsaka att begärda tjänster nekas

    Beskrivning: Ett race-tillståndsproblem förekom i hanteringen av IPv6-paket. Problemet åtgärdades genom förbättrad låsstatuskontroll.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan orsaka oväntad systemavslutning eller att opålitlig kod körs i operativsystemkärnan

    Beskrivning: Ett dubbelt fritt fel förekom i hanteringen av Mach-portar. Problemet åtgärdades genom förbättrad validering av Mach-portar.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan orsaka oväntad systemavslutning eller att opålitlig kod körs i operativsystemkärnan

    Beskrivning: Det fanns ett problem med läsning utanför gränserna i rt_setgate. Det kan leda till problem med avslöjande av minne eller minnesfel. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En del skyddsåtgärder för kärnan kan kringgås

    Beskrivning: Den ”tidiga” slumptalsgeneratorn som användes i vissa säkerhetsåtgärder för kärnan var inte kryptografiskt säker och en del av dess utdata synliggjordes i användarutrymmet, vilket gjorde det möjligt att kringgå säkerhetsåtgärderna. Problemet åtgärdades genom att ersätta slumptalsgeneratorn med en kryptografiskt säker algoritm och med hjälp av en 16-byte seed.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt på Azimuth Security

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med rotprivilegier

    Beskrivning: Det fanns ett problem med skrivning utanför gränserna i Libnotify. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4381: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Det kan hända att en lokal användare kan ändra tillstånden för godtyckliga filer

    Beskrivning: syslogd följde symboliska länkar vid ändring av tillstånden för filer. Problemet löstes genom förbättrad hantering av symboliska länkar.

    CVE-ID

    CVE-2014-4372: Tielei Wang och YeongJin Jang på Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En angripare med en priviligierad nätverksposition kan orsaka att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2013-6663: Atte Kettunen från OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel från Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: