เกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 6.1

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Apple TV 6.1

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

Apple TV 6.1

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: ภัยคุกคามที่เข้าถึง Apple TV อาจเข้าถึงข้อมูลผู้ใช้ที่อ่อนไหวจากบันทึก

    คำอธิบาย: ข้อมูลที่ละเอียดอ่อนของผู้ใช้ถูกบันทึกไว้ ปัญหานี้แก้ไขได้ด้วยการจัดทำบันทึกข้อมูลให้น้อยลง

    CVE-ID

    CVE-2014-1279 : David Schuetz ที่ทำงานที่ Intrepidus Group

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: ไม่เคารพวันที่หมดอายุของโปรไฟล์

    คำอธิบาย: ประเมินวันที่หมดอายุของโปรไฟล์การกำหนดค่าของโทรศัพท์มือถือไม่ถูกต้อง ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการโปรไฟล์การกำหนดค่าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1267

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: แอปพลิเคชั่นที่ประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิด

    คำอธิบาย: มีปัญหาการยืนยันที่สามารถเข้าถึงได้ในการจัดการการโทรแบบ IOKit API ของ CoreCapture ปัญหานี้แก้ไขได้ผ่านการตรวจสอบอินพุตจาก IOKit เพิ่มเติม

    CVE-ID

    CVE-2014-1271 : Filippo Bigarella

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถเปลี่ยนการให้อนุญาตบนไฟล์ Arbitrary ได้

    คำอธิบาย: CrashHouseKeeping ตามลิงก์สัญลักษณ์ในขณะที่เปลี่ยนการอนุญาตบนไฟล์ ปัญหานี้แก้ไขได้โดยการไม่ตามลิงก์สัญลักษณ์เมื่อทำการเปลี่ยนแปลงการอนุญาตบนไฟล์

    CVE-ID

    CVE-2014-1272 : evad3rs

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: อาจมีการบายพาสข้อกำหนดในการเซ็นชื่อรหัส

    คำอธิบาย: คำแนะนำการเปลี่ยนตำแหน่งข้อความในคลังไดนามิกอาจถูกโหลดโดย dyld โดยไม่มีการตรวจสอบลายเซ็นรหัส ปัญหานี้แก้ไขได้ด้วยการเพิกเฉยคำแนะนำในการเปลี่ยนตำแหน่งข้อความ

    CVE-ID

    CVE-2014-1273 : evad3rs

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: การดูไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการภาพ JPEG2000 ในไฟล์ PDF ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1275 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการภาพ TIFF ของ libtiff ปัญหานี้แก้ไขได้ผ่านการตรวจสอบภาพ TIFF เพิ่มเติม

    CVE-ID

    CVE-2012-2088

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: การดูไฟล์ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยเนื้อหาของหน่วยความจำ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้กำหนดเป็นค่าตั้งต้นในการจัดการมาร์คเกอร์ JPEG ของ libjpeg ส่งผลให้เกิดการเปิดเผยเนื้อหาของหน่วยความจำ ปัญหานี้แก้ไขได้ผ่านการตรวจสอบไฟล์ JPEG เพิ่มเติม

    CVE-ID

    CVE-2013-6629 : Michal Zalewski

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

    คำอธบาย: มีปัญหาการเข้าถึงหน่วยความจำนอกขอบเขตในฟังก์ชัน ARM ptmx_get_ioctl ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1278 : evad3rs

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: โปรไฟล์การกำหนดค่าอาจถูกซ่อนไว้จากผู้ใช้

    คำอธิบาย: โปรไฟล์การกำหนดค่าที่มีชื่อยาวๆ อาจถูกโหลดไว้บนอุปกรณ์แต่ไม่แสดงใน UI โปรไฟล์ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการชื่อโปรไฟล์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1282 : Assaf Hefetz, Yair Amit และ Adi Sharabani แห่ง Skycure

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: ผู้ที่เข้าใช้งานอุปกรณ์ได้อาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจโหมดเคอร์เนล

    คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการข้อความ USB ปัญหานี้แก้ไขได้ผ่านการตรวจสอบข้อความ USB เพิ่มเติม

    CVE-ID

    CVE-2014-1287 : Andy Davis แห่ง NCC Group

  • WebKit

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำล่มหลายหน่วยใน WebKit ปัญหาเหล่านี้จะถูกแก้ไขผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-2909 : Atte Kettunen ของ OUSPG

    CVE-2013-2926 : cloudfuzzer

    CVE-2013-2928 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2013-5196 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-5197 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-5198 : Apple

    CVE-2013-5199 : Apple

    CVE-2013-5225 : ทีมความปลอดภัยของ Google Chrome

    CVE-2013-5228 : Keen Team (@K33nTeam) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2013-6625 : cloudfuzzer

    CVE-2013-6635 : cloudfuzzer

    CVE-2014-1269 : Apple

    CVE-2014-1270 : Apple

    CVE-2014-1289 : Apple

    CVE-2014-1290 : ant4g0nist (SegFault) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP, ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1291 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1292 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1293 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1294 : ทีมรักษาความปลอดภัยของ Google Chrome

  • Apple TV

    มีให้สำหรับ: Apple TV (รุ่นที่ 2 และใหม่กว่า)

    ผลกระทบ: การเล่นวิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้อุปกรณ์ไม่ตอบสนอง

    คำอธิบาย: มีปัญหา Null Dereference ในการจัดการไฟล์ที่เข้ารหัส MPEG-4 ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1280 : rg0rd

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: