เกี่ยวกับเนื้อหาความปลอดภัยของซอฟต์แวร์ Apple TV เวอร์ชั่นอัปเดต 4.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของซอฟต์แวร์ Apple TV เวอร์ชั่นอัปเดต 4.4

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

รายการอัปเดตซอฟต์แวร์ Apple TV เวอร์ชั่น 4.4

• Apple TV

  มีสำหรับ: Apple TV 4.0 จนถึง 4.3

  ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจดักจับข้อมูลผระจำตัวผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ

  รายละเอียด: ใบรับรองปลอมออกโดยผู้ให้บริการใบรับรองหลายรายที่ดำเนินการโดย DigiNotar ปัญหานี้แก้ไขได้โดยการลบ DigiNotar ออกจากรายการใบรับรองหลักที่เชื่อถือได้ จากรายการผู้ให้บริการออกใบรับรอง Extended Validation (EV) และโดยการกำหนดค่าการตั้งค่าการเชื่อถือเริ่มต้นของระบบเพื่อให้ใบรับรองของ DigiNotar รวมถึงใบรับรองที่ออกโดยผู้ให้บริการอื่นๆ ไม่ได้รับการเชื่อถือ

• Apple TV

  มีสำหรับ: Apple TV 4.0 จนถึง 4.3

  ผลกระทบ: รองรับใบรับรอง X.509 ที่มีแฮช MD5 อาจทำให้ผู้ใช้พบเจอการปลอมแปลงตัวตนและการเปิดเผยข้อมูลเมื่อเกิดการโจมตี

  รายละเอียด: ใบรับรองได้รับการลงนามโดยใช้อัลกอริทึมแฮช MD5 ที่ iOS ยอมรับ อัลกอริทึมนี้มีจุดอ่อนด้านการเข้ารหัส การค้นหาเพิ่มเติมหรือผู้ให้บริการใบรับรองที่กำหนดค่าผิดอาจอนุญาตให้เกิดการสร้างใบรับรอง X.509 โดยผู้โจมตีควบคุมค่าที่ระบบอาจเชื่อถือแล้ว ซึ่งอาจทำให้โปรโตคอลที่ใช้ X.509 ถูกปลอมแปลง ผู้ใช้ถูกโจมตี และเกิดการเปิดเผยข้อมูล การอัปเดตนี้ปิดใช้งานการรองรับใบรับรอง X.509 ที่มีแฮช MD5 สำหรับการใช้งานอื่นนอกจากใบรับรองรากที่เชื่อถือได้

  CVE-ID

  CVE-2011-3427

• Apple TV

  มีสำหรับ: Apple TV 4.0 จนถึง 4.3

  ผลกระทบ: ผู้โจมตีอาจถอดรหัสส่วนการเชื่อมต่อ SSL

  รายละเอียด: รองรับเฉพาะ SSL เวอร์ชั่น SSLv3 และ TLS 1.0 เวอร์ชั่นเหล่านี้ขึ้นอยู่กับจุดอ่อนของโปรโตคอลเมื่อใช้รหัสบล็อก ผู้โจมตีแบบแทรกกลางการสื่อสารอาจนำเข้าข้อมูลที่ไม่ถูกต้อง ทำให้การเชื่อมต่อปิดลงแต่เป็นการเปิดเผยข้อมูลบางอย่างเกี่ยวกับข้อมูลก่อนหน้า หากมีความพยายามในการเชื่อมต่อเดียวกันซ้ำๆ สุดท้ายแล้วผู้โจมตีอาจสามารถถอดรหัสข้อมูลที่ส่งได้ อย่างเช่นรหัสผ่าน แก้ไขปัญหานี้โดยเพิ่มการรองรับ TLS 1.2

  CVE-ID

  CVE-2011-3389

• Apple TV

  มีสำหรับ: Apple TV 4.0 จนถึง 4.3

  ผลกระทบ: การดูรูปภาพ TIFF ที่มีการดัดแปลงด้วยจุดประสงค์ร้าย อาจทำให้เกิดการยุติแอปพลิเคชันโดยไม่คาดคิดหรือดำเนินการโค้ดโดยพลการ

  รายละเอียด: มีบัฟเฟอร์ล้นที่มีอยู่ในการจัดการรูปภาพ TIFF ที่เข้ารหัส CCITT Group 4 ของ libTIFF

  CVE-ID

  CVE-2011-0192 : Apple

• Apple TV

  มีสำหรับ: Apple TV 4.0 จนถึง 4.3

  ผลกระทบ: การดูรูปภาพ TIFF ที่มีการดัดแปลงด้วยจุดประสงค์ร้าย อาจทำให้เกิดการยุติแอปพลิเคชันโดยไม่คาดคิดหรือการดำเนินการโค้ดโดยพลการ

  รายละเอียด: มีฮีปบัฟเฟอร์เกินที่มีอยู่ในการจัดการรูปภาพ TIFF ที่เข้ารหัส CCITT Group 4 ของ ImageIO

  CVE-ID

  CVE-2011-0241 : Cyril CATTIAUX จาก Tessi Technologies

• Apple TV

  มีสำหรับ: Apple TV 4.0 จนถึง 4.3

  ผลกระทบ: ผู้โจมตีจากระยะไกลอาจทำให้อุปกรณ์รีเซ็ต

  รายละเอียด: เคอร์เนลเรียกคืนหน่วยความจำโดยทันทีจากการเชื่อมต่อ TCP ที่ไม่สมบูรณ์ไม่สำเร็จ ผู้โจมตีที่สามารถเชื่อมต่อบริการรับฟังบนอุปกรณ์ iOS อาจหน่วงทรัพยากรระบบ

  CVE-ID

  CVE-2011-3259 : Wouter van der Veer จาก Topicus I&I และ Josh Enders

• Apple TV

  มีสำหรับ: Apple TV 4.0 จนถึง 4.3

  ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการดำเนินการโค้ดโดยพลการ

  รายละเอียด: ฮีปบัฟเฟอร์หนึ่งไบต์ล้นอยู่ในการจัดการข้อมูล XML ของ libxml

  CVE-ID

  CVE-2011-0216 : Billy Rios จาก Google Security Team

• Apple TV

  มีให้สำหรับ: Apple TV 4.0 จนถึง 4.3

  ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการดำเนินการโค้ดโดยพลการ

  คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน JavaScriptCore

  CVE-ID

  CVE-2011-3232 : Aki Helin จาก OUSPG