Om säkerhetsinnehållet i Apple TV 7.0.3

Det här dokumentet beskriver säkerhetsinnehållet i Apple TV 7.0.3.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

Apple TV 7.0.3

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett afc-kommando skrivet i skadligt syfte kan medge åtkomst till skyddade delar av filsystemet

    Beskrivning: Det fanns en sårbarhet i den symboliska länkningsmekanismen i afc. Problemet åtgärdades genom ytterligare sökvägskontroller.

    CVE-ID

    CVE-2014-4480: Upplåsningsteamet TaiG

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att kod körs godtyckligt

    Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano på Binamuse VRT, via iSIGHT Partners GVP-programmet

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan exekvera osignerad kod

    Beskrivning: Det förekom ett statushanteringsproblem vid hanteringen av körbara Mach-O-filer med överlappande segment. Problemet åtgärdades genom förbättrad validering av segmentstorlek

    CVE-ID

    CVE-2014-4455: Upplåsningsteamet TaiG

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att kod körs godtyckligt

    Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4483: Apple

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Körning av en skadlig .dfont-fil kan leda till att program avslutas oväntat eller att kod körs godtyckligt

    Beskrivning: Det fanns ett problem med minneskorruption vid hantering av .dfont-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah i samarbete med HP:s Zero Day Initiative

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Visning av en skadlig XML-fil kan leda till att program avslutas oväntat eller att kod körs godtyckligt

    Beskrivning: Ett buffertspill förekom i XML-parsern. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4485: Apple

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: En nollpekaravreferens förekom i hanteringen av resurslistor i IOAcceleratorFamily. Problemet åtgärdades genom att ta bort onödig kod.

    CVE-ID

    CVE-2014-4486: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett buffertspill förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad storleksvalidering.

    CVE-ID

    CVE-2014-4487: Upplåsningsteamet TaiG

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Det förekom ett valideringsproblem i hanteringen av metadata för resursköer i IOHIDFamily. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4488: Apple

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: En nollpekaravreferens förekom i hanteringen av händelseköer i IOHIDFamily. Problemet åtgärdades genom förbättrad validering.

    CVE-ID

    CVE-2014-4489: @beist

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Det kan hända att skadliga eller riskutsatta iOS-applikationer kan fastställa adresser i kärnan

    Beskrivning: Ett problem med informationsdelning förekom i hanteringen av API relaterade till kärntillägg. Svar innehållande nyckeln OSBundleMachOHeaders kan ha inkluderat kärnadresser, som kan bidra till att kringgå ASLR-skydd (address space layout randomization). Problemet åtgärdades genom att adresserna togs bort innan de returnerades.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Det fanns ett problem i kärnans delade minnesdelsystem som lät angripare skriva till minne som var avsett att vara skrivskyddat. Problemet åtgärdades genom strängare kontroller av delade minnesbehörigheter.

    CVE-ID

    CVE-2014-4495: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Det kan hända att skadliga eller riskutsatta iOS-applikationer kan fastställa adresser i kärnan

    Beskrivning: Kärngränssnittet mach_port_kobject läckte kärnadresser och heap-permuteringsvärden, vilket kan bidra till att kringgå ASLR-skydd (address space layout randomization). Det här åtgärdades genom att avaktivera gränssnittet mach_port_kobject i produktionskonfigurationer.

    CVE-ID

    CVE-2014-4496: Upplåsningsteamet TaiG

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: En skadlig app i begränsat läge kan utsätta networkd-bakgrundsprogrammet för risk

    Beskrivning: Flera problem med typförväxlingar förekom i hanteringen av interprocesskommunikation i networkd. Om ett skadligt formaterat meddelande skickas till networkd kan det bli möjligt att köra godtycklig kod som networkd-processen. Problemet åtgärdas genom utökad teckensnittskontroll.

    CVE-ID

    CVE-2014-4492: Ian Beer på Google Project Zero

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Formatmallar läses in från flera källor, vilket kan göra det möjligt att stjäla data

    Beskrivning: En SVG inläst i ett img-element kunde läsa in en CSS-fil från en annan källa. Problemet åtgärdades genom förbättrad blockering av externa CSS-referenser i SVG:er.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf på iSEC Partners

  • Apple TV

    Tillgänglig för: Apple TV 3:e generationen och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till att program avslutas oväntat eller att kod körs godtyckligt

    Beskrivning: Flera minnesfel förekom i WebKit. Problemen åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative

    CVE-2014-4479: Apple

  • Apple TV

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Kerberos-biblioteket libgssapi returnerade en kontexttoken med en hängande pekare. Problemet åtgärdades genom förbättrad statushantering.

    CVE-ID

    CVE-2014-5352

  •  

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: