เกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 6.1

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Apple TV 6.1

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

Apple TV 6.1

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: ภัยคุกคามที่เข้าถึง Apple TV อาจเข้าถึงข้อมูลผู้ใช้ที่อ่อนไหวจากบันทึก

  คำอธิบาย: ข้อมูลที่ละเอียดอ่อนของผู้ใช้ถูกบันทึกไว้ ปัญหานี้แก้ไขได้ด้วยการจัดทำบันทึกข้อมูลให้น้อยลง

  CVE-ID

  CVE-2014-1279 : David Schuetz ที่ทำงานที่ Intrepidus Group

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: ไม่เคารพวันที่หมดอายุของโปรไฟล์

  คำอธิบาย: ประเมินวันที่หมดอายุของโปรไฟล์การกำหนดค่าของโทรศัพท์มือถือไม่ถูกต้อง ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการโปรไฟล์การกำหนดค่าให้ดียิ่งขึ้น

  CVE-ID

  CVE-2014-1267

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: แอปพลิเคชั่นที่ประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิด

  คำอธิบาย: มีปัญหาการยืนยันที่สามารถเข้าถึงได้ในการจัดการการโทรแบบ IOKit API ของ CoreCapture ปัญหานี้แก้ไขได้ผ่านการตรวจสอบอินพุตจาก IOKit เพิ่มเติม

  CVE-ID

  CVE-2014-1271 : Filippo Bigarella

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถเปลี่ยนการให้อนุญาตบนไฟล์ Arbitrary ได้

  คำอธิบาย: CrashHouseKeeping ตามลิงก์สัญลักษณ์ในขณะที่เปลี่ยนการอนุญาตบนไฟล์ ปัญหานี้แก้ไขได้โดยการไม่ตามลิงก์สัญลักษณ์เมื่อทำการเปลี่ยนแปลงการอนุญาตบนไฟล์

  CVE-ID

  CVE-2014-1272 : evad3rs

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: อาจมีการบายพาสข้อกำหนดในการเซ็นชื่อรหัส

  คำอธิบาย: คำแนะนำการเปลี่ยนตำแหน่งข้อความในคลังไดนามิกอาจถูกโหลดโดย dyld โดยไม่มีการตรวจสอบลายเซ็นรหัส ปัญหานี้แก้ไขได้ด้วยการเพิกเฉยคำแนะนำในการเปลี่ยนตำแหน่งข้อความ

  CVE-ID

  CVE-2014-1273 : evad3rs

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: การดูไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

  คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการภาพ JPEG2000 ในไฟล์ PDF ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

  CVE-ID

  CVE-2014-1275 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

  คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการภาพ TIFF ของ libtiff ปัญหานี้แก้ไขได้ผ่านการตรวจสอบภาพ TIFF เพิ่มเติม

  CVE-ID

  CVE-2012-2088

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: การดูไฟล์ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยเนื้อหาของหน่วยความจำ

  คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้กำหนดเป็นค่าตั้งต้นในการจัดการมาร์คเกอร์ JPEG ของ libjpeg ส่งผลให้เกิดการเปิดเผยเนื้อหาของหน่วยความจำ ปัญหานี้แก้ไขได้ผ่านการตรวจสอบไฟล์ JPEG เพิ่มเติม

  CVE-ID

  CVE-2013-6629 : Michal Zalewski

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

  คำอธบาย: มีปัญหาการเข้าถึงหน่วยความจำนอกขอบเขตในฟังก์ชัน ARM ptmx_get_ioctl ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

  CVE-ID

  CVE-2014-1278 : evad3rs

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: โปรไฟล์การกำหนดค่าอาจถูกซ่อนไว้จากผู้ใช้

  คำอธิบาย: โปรไฟล์การกำหนดค่าที่มีชื่อยาวๆ อาจถูกโหลดไว้บนอุปกรณ์แต่ไม่แสดงใน UI โปรไฟล์ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการชื่อโปรไฟล์ให้ดียิ่งขึ้น

  CVE-ID

  CVE-2014-1282 : Assaf Hefetz, Yair Amit และ Adi Sharabani แห่ง Skycure

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: ผู้ที่เข้าใช้งานอุปกรณ์ได้อาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจโหมดเคอร์เนล

  คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการข้อความ USB ปัญหานี้แก้ไขได้ผ่านการตรวจสอบข้อความ USB เพิ่มเติม

  CVE-ID

  CVE-2014-1287 : Andy Davis แห่ง NCC Group

• WebKit

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

  คำอธิบาย: มีปัญหาหน่วยความจำล่มหลายหน่วยใน WebKit ปัญหาเหล่านี้จะถูกแก้ไขผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

  CVE-ID

  CVE-2013-2909 : Atte Kettunen ของ OUSPG

  CVE-2013-2926 : cloudfuzzer

  CVE-2013-2928 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-5196 : ทีมความปลอดภัยของ Google Chrome

  CVE-2013-5197 : ทีมความปลอดภัยของ Google Chrome

  CVE-2013-5198 : Apple

  CVE-2013-5199 : Apple

  CVE-2013-5225 : ทีมความปลอดภัยของ Google Chrome

  CVE-2013-5228 : Keen Team (@K33nTeam) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  CVE-2013-6625 : cloudfuzzer

  CVE-2013-6635 : cloudfuzzer

  CVE-2014-1269 : Apple

  CVE-2014-1270 : Apple

  CVE-2014-1289 : Apple

  CVE-2014-1290 : ant4g0nist (SegFault) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP, ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2014-1291 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2014-1292 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2014-1293 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2014-1294 : ทีมรักษาความปลอดภัยของ Google Chrome

• Apple TV

  มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

  ผลกระทบ: การเล่นวิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้อุปกรณ์ไม่ตอบสนอง

  คำอธิบาย: มีปัญหา Null Dereference ในการจัดการไฟล์ที่เข้ารหัส MPEG-4 ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

  CVE-ID

  CVE-2014-1280 : rg0rd