เกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 7

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Apple TV 7

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

Apple TV 7

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามสามารถรับข้อมูลประจำตัว WiFi ได้

    คำอธิบาย: ภัยคุกคามอาจปลอมเป็นจุดเข้าถึงสัญญาณ WiFi ที่เสนอการรับรองความถูกต้องด้วย LEAP ทำลายแฮช MS-CHAPv1 และใช้ข้อมูลประจำตัวที่ได้มาเพื่อรับรองความถูกต้องสำหรับจุดเข้าถึงสัญญาณที่ตั้งใจไว้ แม้ว่าจุดเข้าถึงสัญญาณนั้นจะรองรับวิธีการรับรองความถูกต้องที่ดีกว่าก็ตาม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบการรองรับ LEAP

    CVE-ID

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax และ Wim Lamotte แห่ง Universiteit Hasselt

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามที่สามารถเข้าใช้งานอุปกรณ์อาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้จากบันทึก

    คำอธิบาย: ข้อมูลที่ละเอียดอ่อนของผู้ใช้ถูกบันทึกไว้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดทำบันทึกข้อมูลให้น้อยลง

    CVE-ID

    CVE-2014-4357 : Heli Myllykoski แห่ง OP-Pohjola Group

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามที่มีตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจสามารถทำให้อุปกรณ์คิดว่าเครื่องอัปเดตแล้วแม้ว่าจะไม่ยังไม่อัปเดตก็ตาม

    คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในการจัดการการตอบสนองการตรวจสอบการอัปเดต วันที่หลอกจากส่วนหัวการตอบสนองแบบ Last-Modified ที่ถูกตั้งให้เป็นวันที่ในอนาคตถูกใช้สำหรับการตรวจสอบแบบ If-Modified-Since ในการร้องขอการอัปเดตในเวลาต่อมา ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันส่วนหัวแบบ Last-Modified

    CVE-ID

    CVE-2014-4383 : Raul Siles แห่ง DinoSec

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาจำนวนเต็มมากเกินในการจัดการไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano แห่ง Binamuse VRT ที่ทำงานร่วมกับโปรแกรม iSIGHT Partners GVP

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการเปิดเผยข้อมูล

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการจัดการไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano แห่ง Binamuse VRT ที่ทำงานร่วมกับโปรแกรม iSIGHT Partners GVP

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นอาจทำให้ระบบหยุดโดยไม่คาดคิด

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการ อาร์กิวเมนต์ IOAcceleratorFamily API ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบยืนยันอาร์กิวเมนต์ IOAcceleratorFamily API ที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4369 : Catherine aka winocm และ Cererdlong แห่งทีมรักษาความปลอดภัยของ Alibaba Mobile

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: อุปกรณ์อาจรีสตาร์ทโดยไม่คาดคิด

    คำอธิบาย: มีภัยคุกคามแบบ NULL Pointer Dereference ในไดรเวอร์ IntelAccelerator ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดการข้อผิดพลาดที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4373 : cunzhang จาก Adlab แห่ง Venustech

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถอ่านตัวชี้เคอร์เนลซึ่งสามารถนำไปใช้บายพาสการจองหน่วยความจำแบบสุ่ม (ASLR) เคอร์เนลได้

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการจัดการฟังก์ชั่น IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4379 : Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีบัฟเฟอร์มากเกินแบบพอกพูนในการจัดการพรอพเพอตี้การเทียบผังที่สำคัญของ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4404 : Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีภัยคุกคามแบบ Null Pointer Dereference ในการจัดการคุณสมบัติการเทียบผังที่สำคัญของ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันการจัดการคุณสมบัติการเทียบผังที่สำคัญของ IOHIDFamily ที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4405 : Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจพร้อมสิทธิ์เคอร์เนล

    คำอธิบาย: มีปัญหาการเขียนนอกขอบเขตในส่วนขยายเคอร์เนล IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4380 : cunzhang จาก Adlab แห่ง Venustech

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านข้อมูลยังไม่ได้กำหนดค่าได้จากหน่วยความจำเคอร์เนล

    คำอธิบาย: ปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่ามีอยู่ในการจัดการฟังก์ชั่น IOKit ปัญหานี้ได้รับการแก้ไขแล้วผ่านการเริ่มต้นหน่วยความจำที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในการจัดการช่องข้อมูลเมต้าบางช่องของออบเจกต์ IODataQueue ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันข้อมูลเมต้าที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4418 : Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในการจัดการช่องข้อมูลเมต้าบางช่องของออบเจกต์ IODataQueue ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันข้อมูลเมต้าที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการฟังก์ชั่น IOKit ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบยืนยันอาร์กิวเมนต์ IOKit API ที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4389 : Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาหน่วยความจำที่ยังไม่ได้กำหนดค่าจำนวนมากในอินเทอร์เฟซสถิติเครือข่าย ซึ่งทำให้มีการเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการเริ่มต้นหน่วยความจำเพิ่มเติม

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna แห่งทีมรักษาความปลอดภัยของ Google

    CVE-2014-4419 : Fermin J. Serna แห่งทีมรักษาความปลอดภัยของ Google

    CVE-2014-4420 : Fermin J. Serna แห่งทีมรักษาความปลอดภัยของ Google

    CVE-2014-4421 : Fermin J. Serna แห่งทีมรักษาความปลอดภัยของ Google

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ผู้ที่มีตำแหน่งที่มีสิทธิพิเศษอาจทำให้เกิดการปฏิเสธบริการ

    คำอธิบาย: มีปัญหาเงื่อนไขการแข่งขันในการจัดการแพ็คเกต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบสถานะการล็อกที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

    คำอธิบาย: มีปัญหา Double Free ในการจัดการพอร์ต Mach ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบความถูกต้องของพอร์ต Mach ที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4375

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตใน rt_setgate ซึ่งอาจทำให้มีการเปิดเผยหน่วยความจำหรือหน่วยความจำเสียหายได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4408

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และที่ใหม่กว่า

    ผลกระทบ: มาตรการรักษาความปลอดภัยแบบ Kernel Hardening บางอย่างอาจถูกบายพาส

    คำอธิบาย: ตัวสร้างเลขสุ่ม 'ก่อนเวลา' ถูกใช้ในมาตรการรักษาความปลอดภัยแบบ Kernel Hardening บางอย่างไม่ได้รับความปลอดภัยจากการเข้ารหัส และบางเอาต์พุตถูกเปิดเผยต่อ User Space ทำให้สามารถบายพาสมาตรการรักษาความปลอดภัยแบบ Kernel Hardening ได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการแทนที่ตัวสร้างเลขสุ่มด้วยอัลกอริธึ่มที่ปลอดภัยด้วยการเข้ารหัสและใช้ Seed แบบ 16 ไบต์

    CVE-ID

    CVE-2014-4422 : Tarjei Mandt แห่ง Azimuth Security

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจพร้อมสิทธิ์ระดับราก

    คำอธิบาย: มีปัญหาการเขียนนอกขอบเขตใน Libnotify ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4381 : Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถเปลี่ยนการให้อนุญาตบนไฟล์ตามอำเภอใจได้

    คำอธิบาย: syslogd ตามลิงก์สัญลักษณ์ในขณะที่เปลี่ยนการอนุญาตบนไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดการลิงก์สัญลักษณ์ที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4372 : Tielei Wang และ YeongJin Jang แห่ง Georgia Tech Information Security Center (GTISC)

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามที่มีตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการจัดการหน่วยความจำที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-6663 : Atte Kettunen แห่ง OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel แห่ง Google

    CVE-2014-4411 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 : Apple

    CVE-2014-4415 : Apple

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: