Apple TV 7.0.3'ün güvenlik içeriği hakkında

Bu belgede Apple TV TV 7.0.3'ün güvenlik içeriğini açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

Apple TV 7.0.3

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlarla hazırlanmış bir afc komutu, dosya sisteminin korunan bölümlerine erişim izni verebilir{

    Açıklama: afc'nin sembolik bağlantı mekanizmasında bir güvenlik açığı vardı. Ek yol denetimleri eklenerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4481: Binamuse VRT'den Felipe Andres Manzano, iSIGHT Partners GVP Programı aracılığıyla

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Yerel bir kullanıcı imzasız kod yürütebilir

    Açıklama: Çakışan bölümlere sahip Mach-O yürütülebilir dosyalarının işlenmesinde bir durum yönetimi sorunu vardı. Segment boyutlarının doğrulanmasında iyileştirmeler yapılarak bu sorun giderildi.

    CVE-ID

    CVE-2014-4455 : TaiG Jailbreak Team

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: Yazı tipi dosyalarının işlenmesinde arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4483: Apple

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4484: HP Zero Day Initiative'iyle çalışan Gaurav Baruah

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının görüntülenmesi, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: XML ayrıştırıcısında arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4485: Apple

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'nin kaynak listelerini işlemesinde bir null işaretçi dereferansı mevcuttu. Bu sorun gereksiz kodlar kaldırılarak giderildi.

    CVE-ID

    CVE-2014-4486: Google Project Zero'dan Ian Beer

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Boyut doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4488: Apple

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin olay kuyruklarını işlemesinde bir null işaretçi dereferansı mevcuttu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-4489: @beist

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlarla hazırlanmış veya güvenliği ihlal edilmiş iOS uygulamaları çekirdekteki adresleri belirleyebilir

    Açıklama: Çekirdek uzantılarıyla ilgili API'lerin işlenmesinde bilgilerin açığa çıkması sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, rastgele adres alanı düzeni korumasının atlanmasına yol açabilecek şekilde çekirdek adresleri içermiş olabilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdek paylaşılan bellek alt sisteminde, bir saldırganın salt okunur olması istenen belleğe yazmasına olanak tanıyan bir sorun vardı. Paylaşılan bellek izinlerinin daha sıkı denetlenmesiyle bu sorun giderildi.

    CVE-ID

    CVE-2014-4495: Google Project Zero'dan Ian Beer

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlarla hazırlanmış veya güvenliği ihlal edilmiş iOS uygulamaları çekirdekteki adresleri belirleyebilir

    Açıklama: mach_port_kobject çekirdek arayüzü, çekirdek adreslerini ve yığın permütasyon değerini sızdırıyordu; bu da adres alanı düzenini rastgele hale gtirme korumasının atlanmasına yol açabiliyordu. Bu sorun, ürün konfigürasyonlarında mach_port_kobject arabirimi devre dışı bırakılarak giderildi.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    CVE-2014-4381: Google Project Zero'dan Ian Beer

    Impact: A malicious, sandboxed app can compromise the networkd daemon

    Description: Multiple type confusion issues existed in networkd's handling of interprocess communication. By sending a maliciously formatted message to networkd, it could be possible to execute arbitrary code as the networkd process. The issue is addressed through additional type checking.

    CVE-ID

    CVE-2014-4492 : Ian Beer of Google Project Zero

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Stil sayfalarının çapraz kaynaklardan yüklenmesi verilerin sızdırılmasına izin verebilir

    Açıklama: img öğesine yüklenen bir SVG, çapraz kaynaklı bir CSS dosyası yükleyebilir. SVG'lerde harici CSS referanslarının engellenmesinin geliştirilmesiyle bu sorun giderildi.

    CVE-ID

    CVE-2014-4465: iSEC Partners'dan Rennie deGraaf

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

    Etki: Kötü amaçlarla hazırlanmış bir web sitesini ziyaret etmek, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

    Açıklama: WebKit'te birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: HP Zero Day Initiative'den lokihardt@ASRT

    CVE-2014-4479: Apple

  • Apple TV

    İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Kerberos libgssapi kitaplığı, sarkan bir işaretçiyle bağlam belirteci döndürüyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2014-5352

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: