เกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 6.1
เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Apple TV 6.1
เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ
เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple
Apple TV 6.1
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: ภัยคุกคามที่เข้าถึง Apple TV อาจเข้าถึงข้อมูลผู้ใช้ที่อ่อนไหวจากบันทึก
คำอธิบาย: ข้อมูลที่ละเอียดอ่อนของผู้ใช้ถูกบันทึกไว้ ปัญหานี้แก้ไขได้ด้วยการจัดทำบันทึกข้อมูลให้น้อยลง
CVE-ID
CVE-2014-1279 : David Schuetz ที่ทำงานที่ Intrepidus Group
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: ไม่เคารพวันที่หมดอายุของโปรไฟล์
คำอธิบาย: ประเมินวันที่หมดอายุของโปรไฟล์การกำหนดค่าของโทรศัพท์มือถือไม่ถูกต้อง ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการโปรไฟล์การกำหนดค่าให้ดียิ่งขึ้น
CVE-ID
CVE-2014-1267
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: แอปพลิเคชั่นที่ประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิด
คำอธิบาย: มีปัญหาการยืนยันที่สามารถเข้าถึงได้ในการจัดการการโทรแบบ IOKit API ของ CoreCapture ปัญหานี้แก้ไขได้ผ่านการตรวจสอบอินพุตจาก IOKit เพิ่มเติม
CVE-ID
CVE-2014-1271 : Filippo Bigarella
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถเปลี่ยนการให้อนุญาตบนไฟล์ Arbitrary ได้
คำอธิบาย: CrashHouseKeeping ตามลิงก์สัญลักษณ์ในขณะที่เปลี่ยนการอนุญาตบนไฟล์ ปัญหานี้แก้ไขได้โดยการไม่ตามลิงก์สัญลักษณ์เมื่อทำการเปลี่ยนแปลงการอนุญาตบนไฟล์
CVE-ID
CVE-2014-1272 : evad3rs
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: อาจมีการบายพาสข้อกำหนดในการเซ็นชื่อรหัส
คำอธิบาย: คำแนะนำการเปลี่ยนตำแหน่งข้อความในคลังไดนามิกอาจถูกโหลดโดย dyld โดยไม่มีการตรวจสอบลายเซ็นรหัส ปัญหานี้แก้ไขได้ด้วยการเพิกเฉยคำแนะนำในการเปลี่ยนตำแหน่งข้อความ
CVE-ID
CVE-2014-1273 : evad3rs
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: การดูไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการภาพ JPEG2000 ในไฟล์ PDF ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-1275 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการภาพ TIFF ของ libtiff ปัญหานี้แก้ไขได้ผ่านการตรวจสอบภาพ TIFF เพิ่มเติม
CVE-ID
CVE-2012-2088
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: การดูไฟล์ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยเนื้อหาของหน่วยความจำ
คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้กำหนดเป็นค่าตั้งต้นในการจัดการมาร์คเกอร์ JPEG ของ libjpeg ส่งผลให้เกิดการเปิดเผยเนื้อหาของหน่วยความจำ ปัญหานี้แก้ไขได้ผ่านการตรวจสอบไฟล์ JPEG เพิ่มเติม
CVE-ID
CVE-2013-6629 : Michal Zalewski
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล
คำอธบาย: มีปัญหาการเข้าถึงหน่วยความจำนอกขอบเขตในฟังก์ชัน ARM ptmx_get_ioctl ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-1278 : evad3rs
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: โปรไฟล์การกำหนดค่าอาจถูกซ่อนไว้จากผู้ใช้
คำอธิบาย: โปรไฟล์การกำหนดค่าที่มีชื่อยาวๆ อาจถูกโหลดไว้บนอุปกรณ์แต่ไม่แสดงใน UI โปรไฟล์ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการชื่อโปรไฟล์ให้ดียิ่งขึ้น
CVE-ID
CVE-2014-1282 : Assaf Hefetz, Yair Amit และ Adi Sharabani แห่ง Skycure
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: ผู้ที่เข้าใช้งานอุปกรณ์ได้อาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจโหมดเคอร์เนล
คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการข้อความ USB ปัญหานี้แก้ไขได้ผ่านการตรวจสอบข้อความ USB เพิ่มเติม
CVE-ID
CVE-2014-1287 : Andy Davis แห่ง NCC Group
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำล่มหลายหน่วยใน WebKit ปัญหาเหล่านี้จะถูกแก้ไขผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2013-2909 : Atte Kettunen ของ OUSPG
CVE-2013-2926 : cloudfuzzer
CVE-2013-2928 : ทีมรักษาความปลอดภัยของ Google Chrome
CVE-2013-5196 : ทีมความปลอดภัยของ Google Chrome
CVE-2013-5197 : ทีมความปลอดภัยของ Google Chrome
CVE-2013-5198 : Apple
CVE-2013-5199 : Apple
CVE-2013-5225 : ทีมความปลอดภัยของ Google Chrome
CVE-2013-5228 : Keen Team (@K33nTeam) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
CVE-2013-6625 : cloudfuzzer
CVE-2013-6635 : cloudfuzzer
CVE-2014-1269 : Apple
CVE-2014-1270 : Apple
CVE-2014-1289 : Apple
CVE-2014-1290 : ant4g0nist (SegFault) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP, ทีมรักษาความปลอดภัยของ Google Chrome
CVE-2014-1291 : ทีมรักษาความปลอดภัยของ Google Chrome
CVE-2014-1292 : ทีมรักษาความปลอดภัยของ Google Chrome
CVE-2014-1293 : ทีมรักษาความปลอดภัยของ Google Chrome
CVE-2014-1294 : ทีมรักษาความปลอดภัยของ Google Chrome
Apple TV
มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: การเล่นวิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้อุปกรณ์ไม่ตอบสนอง
คำอธิบาย: มีปัญหา Null Dereference ในการจัดการไฟล์ที่เข้ารหัส MPEG-4 ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2014-1280 : rg0rd
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม