Apple TV Güvenlik Güncellemesi 4.4'ün güvenlik içeriği hakkında
Bu belgede Apple TV Güvenlik Güncellemesi 4.4'ün güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi edinmek için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
Apple TV Yazılım Güncellemesi 4.4
Apple TV
İlgili ürünler: Apple TV 4.0 - 4.3
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir
Açıklama: DigiNotar tarafından işletilen birden fazla sertifika yetkilisi, sahte sertifikalar düzenledi. Bu sorun DigiNotar'ın güvenilir kök sertifikalarından, Uzatılmış Geçerlilik (EV) sertifika yetkililerinden çıkarılmasıyla ve saptanmış sistem güvenilirlik ayarlarının, diğer yetkililer tarafından yayınlananlar dahil olmak üzere DigiNotar sertifikalarının güvenilir olmadığı bilgisini içerecek şekilde yapılmasıyla giderildi.
Apple TV
İlgili ürünler: Apple TV 4.0 - 4.3
Etki: MD5 hash'lerine sahip X.509 sertifikalarının desteklenmesi, saldırılar geliştikçe kullanıcıları sahtecilik ve bilgilerin açığa çıkması riskiyle karşı karşıya bırakabilir
Açıklama: MD5 hash algoritması kullanılarak imzalanan sertifikalar iOS tarafından kabul ediliyordu. Bu algoritma, bilinen kriptografik zayıflıklara sahiptir. Saldırgan tarafından kontrol edilen değerlerle X.509 sertifikaları oluşturmasına izin verilmiş olabilecek başka araştırma yetkilisine veya yanlış ayarlanmış bir sertifika yetkilisine sistem tarafından güvenilmiş olabilir. Bu, X.509 tabanlı protokollerin sahtecilik, ortadaki adam saldırıları ve bilgilerin açığa çıkması riskleriyle karşı karşıya kalmasına neden olabilirdi. Bu güncelleme, güvenilen kök sertifika dışında herhangi bir kullanım için MD5 hash'ine sahip X.509 sertifikası desteğini devre dışı bırakır.
CVE-ID
CVE-2011-3427
Apple TV
İlgili ürünler: Apple TV 4.0 - 4.3
Etki: Bir saldırgan, SSL bağlantısının bir kısmının şifresini çözebilir
Açıklama: SSL'in yalnızca SSLv3 ve TLS 1.0 sürümleri destekleniyordu. Blok şifreler kullanıldığında bu sürümler, bir protokol zayıflığına sahiptir. Ortadaki adam saldırısı gerçekleştiren bir saldırgan, geçersiz veriler ekleyerek bağlantının kapanmasına neden olabilir, ancak önceki verilerle ilgili bazı bilgileri açığa çıkarabilir. Aynı bağlantının tekrar tekrar denenmesi halinde saldırgan sonuçta, gönderilen parola gibi verilerin şifresini çözmeyi başarabilir. TLS 1.2. desteği eklenerek bu sorun çözüldü.
CVE-ID
CVE-2011-3389
Apple TV
İlgili ürünler: Apple TV 4.0 - 4.3
Etki: Kötü amaçlarla oluşturulmuş bir TIFF görüntüsünü görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: libTIFF'in CCITT Grup 4 ile kodlanmış TIFF görüntülerini işlemesinde bir arabellek taşması sorunu vardı.
CVE-ID
CVE-2011-0192 : Apple
Apple TV
İlgili ürünler: Apple TV 4.0 - 4.3
Etki: Kötü amaçlarla oluşturulmuş bir TIFF görüntü dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: ImageIO'nun CCITT Grup 4 ile kodlanmış TIFF görüntülerini işlemesinde bir yığın arabellek taşması sorunu vardı.
CVE-ID
CVE-2011-0241 : Tessi Technologies'den Cyril CATTIAUX
Apple TV
İlgili ürünler: Apple TV 4.0 - 4.3
Etki: Uzaktaki bir saldırgan aygıtın sıfırlanmasına neden olabilir
Açıklama: Çekirdek, tamamlanmamış TCP bağlantılarından belleği hemen geri alamıyordu. iOS aygıtındaki bir dinleme hizmetine bağlanabilen bir saldırgan, sistem kaynaklarını tüketebilir.
CVE-ID
CVE-2011-3259 : Topicus I&I'dan Wouter van der Veer ve Josh Enders
Apple TV
İlgili ürünler: Apple TV 4.0 - 4.3
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Libxml'in XML verilerini işlemesinde, bir baytlık yığın arabellek taşması sorunu vardı.
CVE-ID
CVE-2011-0216: Google Güvenlik Ekibi'nden Billy Rios
Apple TV
İlgili ürünler: Apple TV 4.0 - 4.3
Etki: Ağda ayrıcalıklı konuma sahip bir saldırgan, bir uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: JavaScriptCore'da bir bellek bozulması sorunu vardı.
CVE-ID
CVE-2011-3232 : OUSPG'den Aki Helin
Önemli: Üçüncü taraf web siteleri ve ürünlerinden yalnızca bilgi vermek amacıyla bahsedilmektedir ve bu herhangi bir onay veya öneri niteliği taşımaz. Apple, üçüncü taraf web sitelerinde bulunan ürünlerin seçilmesi, performansı veya kullanılması ya da bu sitelerde yer alan bilgilerin kullanılması konusunda hiçbir sorumluluk kabul etmez. Apple, bu bilgileri yalnızca kullanıcılarına kolaylık sağlamak amacıyla sunmaktadır. Apple, bu sitelerde bulunan bilgileri test etmemiştir ve bunların doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. İnternette bulunan herhangi bir bilgi veya ürünün kullanılması çeşitli riskler içerir ve Apple bu konuda hiçbir sorumluluk üstlenmez. Lütfen üçüncü taraf web sitelerinin Apple'dan bağımsız olduğunu ve Apple'ın bu sitelerdeki içerik üzerinde hiçbir denetimi olmadığını unutmayın. Ek bilgi için lütfen tedarikçiyle irtibata geçin.