Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.
Apple TV 7.0.3
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett afc-kommando skrivet i skadligt syfte kan medge åtkomst till skyddade delar av filsystemet
Beskrivning: Det fanns en sårbarhet i den symboliska länkningsmekanismen i afc. Problemet åtgärdades genom ytterligare sökvägskontroller.
CVE-ID
CVE-2014-4480: Upplåsningsteamet TaiG
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att kod körs godtyckligt
Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano på Binamuse VRT, via iSIGHT Partners GVP-programmet
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En lokal användare kan exekvera osignerad kod
Beskrivning: Det förekom ett statushanteringsproblem vid hanteringen av körbara Mach-O-filer med överlappande segment. Problemet åtgärdades genom förbättrad validering av segmentstorlek
CVE-ID
CVE-2014-4455: Upplåsningsteamet TaiG
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att kod körs godtyckligt
Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-4483: Apple
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Körning av en skadlig .dfont-fil kan leda till att program avslutas oväntat eller att kod körs godtyckligt
Beskrivning: Det fanns ett problem med minneskorruption vid hantering av .dfont-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-4484: Gaurav Baruah i samarbete med HP:s Zero Day Initiative
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Visning av en skadlig XML-fil kan leda till att program avslutas oväntat eller att kod körs godtyckligt
Beskrivning: Ett buffertspill förekom i XML-parsern. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-4485: Apple
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: En nollpekaravreferens förekom i hanteringen av resurslistor i IOAcceleratorFamily. Problemet åtgärdades genom att ta bort onödig kod.
CVE-ID
CVE-2014-4486: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett buffertspill förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad storleksvalidering.
CVE-ID
CVE-2014-4487: Upplåsningsteamet TaiG
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Det förekom ett valideringsproblem i hanteringen av metadata för resursköer i IOHIDFamily. Problemet åtgärdades genom förbättrad validering av metadata.
CVE-ID
CVE-2014-4488: Apple
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: En nollpekaravreferens förekom i hanteringen av händelseköer i IOHIDFamily. Problemet åtgärdades genom förbättrad validering.
CVE-ID
CVE-2014-4489: @beist
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Det kan hända att skadliga eller riskutsatta iOS-applikationer kan fastställa adresser i kärnan
Beskrivning: Ett problem med informationsdelning förekom i hanteringen av API relaterade till kärntillägg. Svar innehållande nyckeln OSBundleMachOHeaders kan ha inkluderat kärnadresser, som kan bidra till att kringgå ASLR-skydd (address space layout randomization). Problemet åtgärdades genom att adresserna togs bort innan de returnerades.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Det fanns ett problem i kärnans delade minnesdelsystem som lät angripare skriva till minne som var avsett att vara skrivskyddat. Problemet åtgärdades genom strängare kontroller av delade minnesbehörigheter.
CVE-ID
CVE-2014-4495: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Det kan hända att skadliga eller riskutsatta iOS-applikationer kan fastställa adresser i kärnan
Beskrivning: Kärngränssnittet mach_port_kobject läckte kärnadresser och heap-permuteringsvärden, vilket kan bidra till att kringgå ASLR-skydd (address space layout randomization). Det här åtgärdades genom att avaktivera gränssnittet mach_port_kobject i produktionskonfigurationer.
CVE-ID
CVE-2014-4496: Upplåsningsteamet TaiG
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: En skadlig app i begränsat läge kan utsätta networkd-bakgrundsprogrammet för risk
Beskrivning: Flera problem med typförväxlingar förekom i hanteringen av interprocesskommunikation i networkd. Om ett skadligt formaterat meddelande skickas till networkd kan det bli möjligt att köra godtycklig kod som networkd-processen. Problemet åtgärdas genom utökad teckensnittskontroll.
CVE-ID
CVE-2014-4492: Ian Beer på Google Project Zero
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Formatmallar läses in från flera källor, vilket kan göra det möjligt att stjäla data
Beskrivning: En SVG inläst i ett img-element kunde läsa in en CSS-fil från en annan källa. Problemet åtgärdades genom förbättrad blockering av externa CSS-referenser i SVG:er.
CVE-ID
CVE-2014-4465: Rennie deGraaf på iSEC Partners
Apple TV
Tillgänglig för: Apple TV 3:e generationen och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att program avslutas oväntat eller att kod körs godtyckligt
Beskrivning: Flera minnesfel förekom i WebKit. Problemen åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative
CVE-2014-4479: Apple
Apple TV
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Kerberos-biblioteket libgssapi returnerade en kontexttoken med en hängande pekare. Problemet åtgärdades genom förbättrad statushantering.
CVE-ID
CVE-2014-5352