Om säkerhetsinnehållet i Apple TV 7.0.3

Det här dokumentet beskriver säkerhetsinnehållet i Apple TV 7.0.3.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Apple TV 7.0.3

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt afc-kommando kan ge åtkomst till skyddade delar av filesystemet

    Beskrivning: Det förekom en sårbarhet i afc:s symboliska länkmekanism. Det här problemet åtgärdades genom att lägga till ytterligare sökvägskontroller.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett heltalsspill förekom i hanteringen av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano på Binamuse VRT, via iSIGHT Partners GVP-programmet

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En lokal användare kan köra osignerade kod

    Beskrivning: Ett problem med tillståndshantering förekom i hanteringen av körbara Mach-O-filer med överlappande segment. Problemet åtgärdades genom förbättrad validering av segment sizesCVE

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4483: Apple

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Bearbetning av en skadlig .dtypsnittsfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i hanteringen av .dtypsnittsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah i samarbete med HP:s Zero Day Initiative

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Visning av en XML-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett buffertspill förekom i XML-tolken. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4485: Apple

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet Beskrivning

    : En nollpekarreferens förekom i IOAcceleratorFamiljehantering av resurslistor. Problemet åtgärdades genom att ta bort onödig kod.

    CVE-ID

    CVE-2014-4486: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett buffertspill förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad storleksvalidering.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett valideringsproblem förekom i IOHIDFamily:s hantering av metadata för resurskö. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4488: Apple

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: En nollpekarreferens förekom i IOHIDFamily:s hantering av händelseköer. Problemet har åtgärdats genom förbättrad validering.

    CVE-ID

    CVE-2014-4489: @beist

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Skadligt utformade eller komprometterade iOS-appar kan fastställa adresser i kernel

    Beskrivning: Ett problem med informationsavslöjande förekom i hanteringen av API:er relaterade till kerneltillägg. Svar innehållande en OSBundleMachOHeaders-nyckel kan ha omfattat kerneladresser, som kan bidra till att kringgå ASLR-skydd (address space layout randomization). Det här problemet åtgärdades genom att adresserna togs bort innan de returnerades.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem förekom i delsystemet för delat minne i kärnan som gjorde det möjligt för en angripare att skriva till minne som var avsett att vara skrivskyddad. Det här problemet åtgärdades med striktare kontroll av behörigheter för delat minne.

    CVE-ID

    CVE-2014-4495: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Skadligt utformade eller komprometterade iOS-appar kan fastställa adresser i kernel

    Beskrivning: Mach_port_kobject kernelgränssnittet läckte kerneladresser och heap permutationsvärde, vilket kan vara till hjälp för att kringgå skydd för randomisering av adressrymdslayout. Detta åtgärdades genom att inaktivera gränssnittet mach_port_kobject i produktionskonfigurationer.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: En skadlig, sandförpackad app kan äventyra networkd demon

    Beskrivning: Flera typer av förvirring problem förekom i networkds hantering av interprocesskommunikation. Om ett skadligt formaterat meddelande skickas till networkd kan det bli möjligt att köra opålitlig kod som networkd-processen. Problemet åtgärdades genom utökad typkontroll.

    CVE-ID

    CVE-2014-4492: Ian Beer på Google Project Zero

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Stilblad läses in med korsursprung, vilket kan möjliggöra dataexfiltration

    Beskrivning: En SVG som läses in i ett img-element kan läsa in en CSS-fil med korsursprung. Det här problemet åtgärdades genom förbättrad blockering av externa CSS-referenser i SVG.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf på iSEC Partners

  • Apple TV

    Tillgängligt för: Apple TV 3:e generationen och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: Lokihardt@ASRT i samarbete med HP's Zero Day Initiative

    CVE-2014-4479: Apple

  • Apple TV

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig app kanske kan köra opålitlig kod med systembehörigheter

    Beskrivning: Kerberos libgssapi-biblioteket returnerade en innehållstoken med en hängande pekare. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2014-5352

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: