Om säkerhetsinnehållet till Apple TV 7.2.1

Detta dokument beskriver säkerhetsinnehållet i Apple TV 7.2.1

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

Apple TV 7.2.1

  • bootp

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Det kan hända att ett bedrägligt Wi-Fi-nätverk kan avgöra vilka nätverk en enhet har anslutits till tidigare

    Beskrivning: Vid anslutning till ett Wi-Fi-nätverk kan det hända att iOS sänder MAC-adresser för nätverk som det tidigare anslutit till via DNAv4-protokollet. Problemet åtgärdades genom att inaktivera DNAv4 på icke-krypterade Wi-Fi-nätverk.

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon på Oxford Internet Institute, University of Oxford (i EPSRC Being There-projektet)

  • CloudKit

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Ett skadligt program kan komma åt iCloud-användarhistorik för en tidigare inloggad användare

    Beskrivning: En lägesinkonsekvens förekom i CloudKit när användare loggades ut. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-3782: Deepkanwal Plaha på University of Toronto

  • CFPreferences

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: En skadlig app kan läsa hanterade inställningar för andra appar

    Beskrivning: Ett problem fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen för tredje part.

    CVE-ID

    CVE-2015-3793: Andreas Weinlein på Appthority Mobility Threat Team

  • Kodsignering

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: En skadlig app kan köra osignerad kod

    Beskrivning: Det förekom ett problem som ledde till att osignerad kod lades till i signerad kod i en speciellt utformad körbar fil. Problemet åtgärdades genom förbättrad validering av kodsignatur.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • Kodsignering

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: En speciellt utformad körbar fil kunde tillåta att osignerad och skadlig kod kördes

    Beskrivning: Ett problem förekom i hur körbara filer inom flera arkitekturer utvärderades som kunde leda till att osignerad kod kördes. Det här problemet åtgärdades genom förbättrad validering av körbara filer.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • Kodsignering

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: En lokal användare kan exekvera osignerad kod

    Beskrivning: Ett valideringsproblem förekom i hanteringen av Mach-O-filer. Det åtgärdades genom utökade kontroller.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Uppspelning av CoreMedia

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett minnesfel förekom i CoreMedia Playback. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team 

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Öppning av en uppsåtligt skapad DMG-fil kan leda till oväntad programavslutning eller körning av opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom vid tolkning av felformaterade DMG-avbilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3800: Frank Graziano på Yahoo Pentest Team

  • FontParser

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Bearbetning av en uppsåtligt skapad TIFF-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i bearbetning av TIFF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Tolkning av skadligt webbinnehåll kan leda till att processminnet avslöjas

    Beskrivning: Det förekom ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av PNG-bilder. Det här problemet åtgärdades genom bättre minneshantering och ytterligare validering av PNG-bilder.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Tolkning av skadligt webbinnehåll kan leda till att processminnet avslöjas

    Beskrivning: Det förekom ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av TIFF-bilder. Det här problemet åtgärdas genom bättre minneshantering och ytterligare validering av TIFF-bilder.

    CVE-ID

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Tolkning av en uppsåtligt skapad plist kan leda till oväntad programavslutning eller körning av opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i bearbetningen av felformaterade plister. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3776: Teddy Reed på Facebook Security, Patrick Stein (@jollyjinx) på Jinx Germany

  • IOHIDFamily

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett buffertspillproblem förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • Kärna

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Ett skadligt program kan ta reda på layouten för kernelminnet

    Beskrivning: Ett fel förekom i mach_port_space_info-gränssnittet, vilket kunde leda till att schemat för kärnminnet avslöjades. Det åtgärdades genom att inaktivera mach_port_space_info-gränssnittet.

    CVE-ID

    CVE-2015-3766: Cererdlong på Alibaba Mobile Security Team, @PanguTeam

  • Kärna

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Öppning av ett uppsåtligt skapat reguljärt uttryck kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i TRE-biblioteket. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3796: Ian Beer på Google Project Zero

    CVE-2015-3797: Ian Beer på Google Project Zero

    CVE-2015-3798: Ian Beer på Google Project Zero

  • Libinfo

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller godtycklig kodkörning.

    Beskrivning: Ett minnesfel förekom i hanteringen av AF_INET6-uttag. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i hanteringen av systemanrop. Problemet åtgärdades genom förbättrad låsstatuskontroll.

    CVE-ID

    CVE-2015-5757: Lufeng Li på Qihoo 360

  • libxml2

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas

    Beskrivning: Det fanns ett minnesfel under tolkningen av XML-filer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Flera sårbarheter förekom i libxml2-versioner äldre än 2.9.2, varav den allvarligaste kan leda till att en fjärrangripare kan orsaka att tjänster nekas

    Beskrivning: Flera sårbarheter förekom i libxml2-versioner äldre än 2.9.2. De hanterades genom att uppdatera libxml2 till version 2.9.2.

    CVE-ID

    CVE-2012-6685: Felix Groebert på Google

    CVE-2014-0191: Felix Groebert på Google

    CVE-2014-3660: Felix Groebert på Google

  • libxpc

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i hanteringen av felformaterade XPC-meddelanden. Problemet förbättrades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • libxslt

    Tillgänglig för: Apple TV (4:e generationen)

    Effekt: Att öppna en skadlig XML-fil kan leda till godtycklig kodkörning

    Beskrivning: Ett problem med sammanblandning av typer förekom i libxslt. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-7995: puzzor

  • Location Framework

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: En lokal användare kan ändra skyddade delar av filsystemet

    Beskrivning: Ett problem med en symbollänk hanterades genom förbättrad sökvägsvalidering.

    CVE-ID

    CVE-2015-3759: Cererdlong på Alibaba Mobile Security Team

  • Office Viewer

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Tolkning av en skadlig XML-fil kan leda till att användarinformation avslöjas

    Beskrivning: Det fanns ett problem med External Entity-referenser vid tolkning av XML-filer. Det här problemet åtgärdades genom förbättrad tolkning.

    CVE-ID

    CVE-2015-3784: Bruno Morisson på INTEGRITY S.A. 

  • QL Office

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Tolkning av ett Office-dokument med skadligt innehåll kan leda till att ett program avslutas oväntat eller körning av opålitlig kod

    Beskrivning: Det fanns ett minnesfel i tolkningen av Office-dokument. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5773: Apple

  • Sandbox_profiles

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: En skadlig app kan läsa hanterade inställningar för andra appar

    Beskrivning: Ett problem fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen för tredje part.

    CVE-ID

    CVE-2015-5749: Andreas Weinlein på Appthority Mobility Threat Team

  • WebKit

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Öppning av skadligt webbinnehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Skadligt webbinnehåll kan komma åt bilddata från flera källor

    Beskrivning: Bilder som hämtas via webbadresser som omdirigerar till en data:image-resurs kan nås från flera källor. Problemet åtgärdades genom förbättrad spårning av canvas taint.

    CVE-ID

    CVE-2015-3753: Antonio Sanso och Damien Antipa på Adobe

  • WebKit

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Skadligt webbinnehåll kan utlösa plaintext-förfrågningar till ett ursprung med HTTP Strict Transport Security

    Beskrivning: Ett problem förekom som ledde till att Content Security Policy-rapportförfrågningar inte tillämpade HTTP Strict Transport Security (HSTS). Problemet hanterades genom att tillämpa HSTS för CSP.

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Content Security Policy-rapportförfrågningar kan läcka cookies

    Beskrivning: Två problem förekom med hur cookies lades till i Content Security Policy-rapportförfrågningar. Cookies skickades i cross-origin-rapportförfrågningar i strid mot standardinställningen. Cookies som ställts in under vanlig surfning skickades under privat surfning. Dessa problem åtgärdades genom förbättrad hantering av cookies.

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Tillgänglig för: Apple TV (3:e generationen)

    Effekt: Laddning av bilder kan strida mot en webbplats Content Security Policy-direktiv

    Beskrivning: Det förekom ett problem som ledde till att webbinnehåll med videoreglage läste in bilder som var inbäddade i objektelement i strid mot webbplatsens Content Security Policy-direktiv. Problemet hanterades genom förbättrad efterlevnad av Content Security Policy.

    CVE-ID

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: