เกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 7.0.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 7.0.3

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันประเด็นเกี่ยวความปลอดภัยจนกว่าจะมีการตรวจสอบโดยละเอียด และมีการปรับปรุงทุกรายการที่จำเป็นหรือมีการวางจำหน่ายแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้รหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเกี่ยวกับความเสี่ยงต่างๆ

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู รายการอัปเดตความปลอดภัยของ Apple

Apple TV 7.0.3

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: คำสั่ง afc ที่ออกแบบมาเพื่อประสงค์ร้ายอาจจะอนุญาตให้เข้าถึงส่วนที่ได้รับการป้องกันของระบบไฟล์

    คำอธิบาย: มีช่องโหว่ด้านความปลอดภัยในกลไกการเชื่อมโยงเชิงสัญลักษณ์ของ afc ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มการตรวจสอบพาธเพิ่มเติม

    CVE-ID

    CVE-2014-4480: ทีม TaiG Jailbreak

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4481 : Felipe Andres Manzano แห่ง Binamuse VRT ผ่านโปรแกรม iSIGHT Partners GVP

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถใช้รหัสที่ไม่ได้ลงนามได้

    คำอธิบาย: มีปัญหาการจัดการสถานะอยู่ในการจัดการไฟล์ปฏิบัติการ Mach-O ที่มีเซ็กเมนต์ซ้อนทับกัน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขนาดเซ็กเมนต์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4455: ทีม TaiG Jailbreak

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4483 : Apple

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: การประมวลผลไฟล์ .dfont ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการไฟล์ .dfont ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4484: Gaurav Baruah ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: การดูไฟล์ XML ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นในตัวแยกวิเคราะห์ XML ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4485: Apple

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการรายการทรัพยากรของ IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบรหัสที่ไม่จำเป็น

    CVE-ID

    CVE-2014-4486: Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นใน IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4487: ทีม TaiG Jailbreak

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการข้อมูลเมต้าของคิวทรัพยากรของ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบยืนยันข้อมูลเมต้าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4488: Apple

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการคิวกิจกรรมของ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4489: @beist

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่ออกแบบมาเพื่อประสงค์ร้ายหรือเป็นภัยต่อ iOS อาจสามารถกำหนดที่อยู่ในเคอร์เนลได้

    คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการจัดการ API ที่เกี่ยวกับส่วนขยายเคอร์เนล การตอบสนองที่มีคีย์ OSBundleMachOHeaders อาจรวมที่อยู่เคอร์เนล ซึ่งอาจช่วยในการบายพาสการป้องกันการสุ่มตำแหน่งหน่วยความจำได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่เลื่อนที่อยู่ก่อนจะส่งกลับ

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาในระบบย่อยของหน่วยความจำที่ใช้ร่วมกันของเคอร์เนล ที่อนุญาตให้ผู้โจมตีสามารถเขียนหน่วยความจำที่กำหนดไว้เป็นแบบอ่านอย่างเดียว ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสิทธิ์หน่วยความจำที่ใช้ร่วมกันที่เข้มงวดขึ้น

    CVE-ID

    CVE-2014-4495: Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่ออกแบบมาเพื่อประสงค์ร้ายหรือเป็นภัยต่อ iOS อาจสามารถกำหนดที่อยู่ในเคอร์เนลได้

    คำอธิบาย: อินเทอร์เฟซเคอร์เนล mach_port_kobject ทำให้เกิดการรั่วไหลของที่อยู่ในเคอร์เนลและค่าการเรียงสับเปลี่ยนฮีป ซึ่งอาจช่วยในการบายพาสการป้องกันการสุ่มตำแหน่งหน่วยความจำได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยปิดการใช้งานอินเทอร์เฟซ mach_port_kobject ในการกำหนดค่าการผลิต

    CVE-ID

    CVE-2014-4496: ทีม TaiG Jailbreak

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แอป Sandbox ที่เป็นอันตรายสามารถเป็นภัยต่อ Networkd Daemon

    คำอธิบาย: มีปัญหาความสับสนเกี่ยวกับประเภทอยู่หลายข้อในการจัดการการสื่อสารระหว่างกระบวนการของ Networkd การส่งข้อความในรูปแบบที่ประสงค์ร้ายไปที่ Networkd ส่งผลให้มีความเป็นไปได้ที่จะรันรหัสเป็นกระบวนการ Networkd ได้ตามอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบประเภทเพิ่มเติม

    CVE-ID

    CVE-2014-4492: Ian Beer แห่ง Google Project Zero

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: แผ่นสไตล์ถูกโหลดข้ามต้นทางซึ่งอาจทำให้เกิดการรั่วไหลของข้อมูล

    คำอธิบาย: SVG ที่โหลดในองค์ประกอบ img สามารถโหลดไฟล์ CSS ข้ามต้นทางได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยเพิ่มการสกัดกั้นการอ้างอิง CSS ภายนอกใน SVG

    CVE-ID

    CVE-2014-4465: Rennie deGraaf แห่ง iSEC Partners

  • Apple TV

    มีให้สำหรับ: Apple TV รุ่นที่ 3 และใหม่กว่า

    ผลกระทบ: การเข้าเว็บไซต์ที่ออกแบบมาเพื่อเป็นอันตรายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2014-4479: Apple

  • Apple TV

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: คลัง Kerberos libgssapi ส่งกลับโทเค็นบริบทที่มีตัวชี้ลอย ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะ

    CVE-ID

    CVE-2014-5352

    •  

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: