เกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 6.0

เรียนรู้เกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 6.0

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"

Apple TV 6.0

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: การดูไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการข้อมูลที่เข้ารหัส JBIG2 ในไฟล์ PDF ปัญหานี้แก้ไขได้ผ่านการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-1025 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: การเล่นไฟล์ภาพภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินไปในการจัดการไฟล์ภาพยนตร์ที่เข้ารหัส Sorenson ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-1019 : Tom Gallagher (Microsoft) และ Paul Bates (Microsoft) ที่ทำงานกับ Zero Day Initiative ของ HP

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ

    คำอธิบาย: TrustWave ซึ่งเป็น root CA ที่เชื่อถือได้ ที่มีปัญหาและถูกเพิกถอนใบรับรอง sub-CA ในเวลาต่อมา sub-CA จากหนึ่งในการอ้างอิงที่เชื่อถือได้ของมัน sub-CA นี้ทำให้การขัดขวางการสื่อสารที่ได้รับความปลอดภัยโดยความปลอดภัยแบบระดับชั้นในการนำส่งข้อมูล (TLS) ง่ายขึ้น การอัปเดตนี้ได้เพิ่มใบรับรอง sub-CA ที่เกี่ยวข้องในรายการใบรับรองที่ไม่น่าเชื่อถือของ OS X

    CVE-ID

    CVE-2013-5134

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีที่มีการใช้รหัสโดยอำเภอใจบนอุปกรณ์อาจสามารถยืนกรานการใช้รหัสการรีบู๊ตทั้งหมด

    คำอธิบาย: มีบัฟเฟอร์ล้นจำนวนมากในฟังก์ชัน dyld's openSharedCacheFile() ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-3950 : Stefan Esser

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: การดูไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการข้อมูลที่เข้ารหัส JPEG2000 ในไฟล์ PDF ปัญหานี้แก้ไขได้ผ่านการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-1026 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นภายในที่ประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิด

    คำอธิบาย: มีการโจมตีแบบ Null Pointer Dereference ใน IOCatalogue ปัญหานี้แก้ไขได้ผ่านการตรวจสอบประเภทเพิ่มเติม

    CVE-ID

    CVE-2013-5138 : Will Estes

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: การใช้งานแอปพลิเคชั่นที่ประสงค์ร้ายอาจมีผลให้มีการใช้รหัสโดยอำเภอใจภายในเคอร์เนล

    คำอธิบาย: มีการเข้าถึงอาร์เรย์ที่อยู่นอกขอบข่ายในไดรฟ์เวอร์ IOSerialFamily ปัญหานี้แก้ไขได้ผ่านการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-5139 : @dent1zt

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีจากระยะไกลสามารถทำให้อุปกรณีรีสตาร์ทโดยไม่คาดคิด

    คำอธิบาย: การส่งส่วนย่อยแพ็คเก็ตที่ไม่ถูกต้องไปยังอุปกรณ์สามารถทำให้ข้อวินิจฉัยเคอร์เนลให้กระตุ้น ทำให้รีสตาร์ทอุปกรณ์ ปัญหานี้แก้ไขได้ผ่านการตรวจสอบยืนยันส่วนย่อยแพ็คเก็ตเพิ่มเติม

    CVE-ID

    CVE-2013-5140 : Joonas Kuorilehto แห่ง Codenomicon ซึ่งเป็นนักวิจัยนิรนามที่ทำงานกับ CERT-FI, Antti Levomäki และ Lauri Virtanen แห่ง Vulnerability Analysis Group, Stonesoft

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีบนเครือข่ายภายในสามารถทำให้ปฏิเสธการบริการ

    คำอธิบาย: ผู้โจมตีบนเครือข่ายภายในสามารถส่งแพ็คเก็ต IPv6 ICMP ที่ออกแบบเป็นพิเศษและทำให้ CPU ทำงานหนัก ปัญหานี้แก้ไขได้ด้วยการประเมินการจำกัดแพ็คเก็ต ICMP ก่อนจะตรวจสอบความถูกต้องของข้อมูล

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: กองหน่วยความจำเคอร์เนลอาจถูกเปิดเผยให้กับผู้ใช้ภายใน

    คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลใน msgctl และ segctl API ปัญหานี้แก้ไขได้ด้วยการเริ่มต้นโครงสร้างข้อมูลที่กลับมาจากเคอร์เนล

    CVE-ID

    CVE-2013-5142 : Kenzley Alphonse แห่ง Kenx Technology, Inc

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: กระบวนการที่ไม่ได้รับสิทธิพิเศษอาจได้รับสิทธิ์เข้าถึงเนื้อหาหน่วยความจำเคอร์เนลซึ่งอาจทำให้เกิดการยกระดับสิทธิพิเศษ

    คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลใน mach_port_space_info API ปัญหานี้แก้ไขได้ด้วยการเริ่มต้นฟิลด์ iin_collision ในโครงสร้างที่กลับมาจากเคอร์เนล

    CVE-ID

    CVE-2013-3953 : Stefan Esser

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: กระบวนการที่ไม่ได้รับสิทธิพิเศษอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการอาร์กิวเมนต์ไปที่ posix_spawn API ปัญหานี้แก้ไขได้ผ่านการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-3954 : Stefan Esser

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: กระบวนการที่ไม่ได้รับอนุญาตอาจดัดแปลงชุดส่วนขยายของเคอร์เนลที่โหลด

    คำอธิบาย: มีปัญหาในการจัดการข้อความ IPC ของ kextd จากผู้ส่งที่ไม่ผ่านการรับรองความถูกต้อง ปัญหานี้แก้ไขได้ด้วยการเพิ่มการตรวจสอบการอนุญาตเพิ่มเติม

    CVE-ID

    CVE-2013-5145 : "Rainbow PRISM"

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: การดูหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำจำนวนมากใน libxml ปัญหาเหล่านี้แก้ไขได้ด้วยการอัปเดต libxml ให้เป็นเวอร์ชั่น 2.9.0

    CVE-ID

    CVE-2011-3102 : Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807 : Jüri Aedla

    CVE-2012-5134 : ของทีมรักษาความปลอดภัยของ Google Chrome (Jüri Aedla)

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: การดูหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำจำนวนมากใน libxslt ปัญหาเหล่านี้สามารถแก้ได้ด้วยการอัปเดต libxslt ให้เป็นเวอร์ชั่น 1.1.28

    CVE-ID

    CVE-2012-2825 : Nicolas Gregoire

    CVE-2012-2870 : Nicolas Gregoire

    CVE-2012-2871 : Kai Lu แห่ง Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 2 และใหม่กว่า

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำล่มหลายหน่วยใน WebKit ปัญหาเหล่านี้จะถูกแก้ไขผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0879 : Atte Kettunen ของ OUSPG

    CVE-2013-0991 : Jay Civelli แห่งชุมชนการพัฒนาโครเมี่ยม

    CVE-2013-0992 : ทีมความปลอดภัยของ Google Chrome (Martin Barbella)

    CVE-2013-0993 : ทีมความปลอดภัยของ Google Chrome (Inferno)

    CVE-2013-0994 : David German แห่ง Google

    CVE-2013-0995 : ทีมความปลอดภัยของ Google Chrome (Inferno)

    CVE-2013-0996 : ทีมความปลอดภัยของ Google Chrome (Inferno)

    CVE-2013-0997 : Vitaliy Toropov ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2013-0998 : pa_kt ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2013-0999 : pa_kt ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2013-1000 : Fermin J. Serna แห่งทีมความปลอดภัยของ Google

    CVE-2013-1001 : Ryan Humenick

    CVE-2013-1002 : Sergey Glazunov

    CVE-2013-1003 : ทีมความปลอดภัยของ Google Chrome (Inferno)

    CVE-2013-1004 : ทีมความปลอดภัยของ Google Chrome (Martin Barbella)

    CVE-2013-1005 : ทีมความปลอดภัยของ Google Chrome (Martin Barbella)

    CVE-2013-1006 : ทีมความปลอดภัยของ Google Chrome (Martin Barbella)

    CVE-2013-1007 : ทีมความปลอดภัยของ Google Chrome (Inferno)

    CVE-2013-1008 : Sergey Glazunov

    CVE-2013-1010 : miaubiz

    CVE-2013-1011

    CVE-2013-1037 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-1038 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-1039 : own-hero Research ที่ทำงานร่วมกับ iDefense VCP

    CVE-2013-1040 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-1041 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-1042 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-1043 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-1044 : Apple

    CVE-2013-1045 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-1046 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-1047 : miaubiz

    CVE-2013-2842 : Cyril Cattiaux

    CVE-2013-5125 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-5126 : Apple

    CVE-2013-5127 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-5128 : Apple

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: