Apple TV 7.0.3'ün güvenlik içeriği hakkında

Bu belgede Apple TV TV 7.0.3'ün güvenlik içeriğini açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

Apple TV 7.0.3

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlarla hazırlanmış bir afc komutu, dosya sisteminin korunan bölümlerine erişim izni verebilir{

  Açıklama: afc'nin sembolik bağlantı mekanizmasında bir güvenlik açığı vardı. Ek yol denetimleri eklenerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4480: TaiG Jailbreak Team

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4481: Binamuse VRT'den Felipe Andres Manzano, iSIGHT Partners GVP Programı aracılığıyla

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Yerel bir kullanıcı imzasız kod yürütebilir

  Açıklama: Çakışan bölümlere sahip Mach-O yürütülebilir dosyalarının işlenmesinde bir durum yönetimi sorunu vardı. Segment boyutlarının doğrulanmasında iyileştirmeler yapılarak bu sorun giderildi.

  CVE-ID

  CVE-2014-4455 : TaiG Jailbreak Team

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: Yazı tipi dosyalarının işlenmesinde arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4483: Apple

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4484: HP Zero Day Initiative'iyle çalışan Gaurav Baruah

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasının görüntülenmesi, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: XML ayrıştırıcısında arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4485: Apple

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: IOAcceleratorFamily'nin kaynak listelerini işlemesinde bir null işaretçi dereferansı mevcuttu. Bu sorun gereksiz kodlar kaldırılarak giderildi.

  CVE-ID

  CVE-2014-4486: Google Project Zero'dan Ian Beer

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Boyut doğrulama işlemi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4487: TaiG Jailbreak Team

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4488: Apple

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: IOHIDFamily'nin olay kuyruklarını işlemesinde bir null işaretçi dereferansı mevcuttu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-4489: @beist

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlarla hazırlanmış veya güvenliği ihlal edilmiş iOS uygulamaları çekirdekteki adresleri belirleyebilir

  Açıklama: Çekirdek uzantılarıyla ilgili API'lerin işlenmesinde bilgilerin açığa çıkması sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, rastgele adres alanı düzeni korumasının atlanmasına yol açabilecek şekilde çekirdek adresleri içermiş olabilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.

  CVE-ID

  CVE-2014-4491: @PanguTeam, Stefan Esser

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: Çekirdek paylaşılan bellek alt sisteminde, bir saldırganın salt okunur olması istenen belleğe yazmasına olanak tanıyan bir sorun vardı. Paylaşılan bellek izinlerinin daha sıkı denetlenmesiyle bu sorun giderildi.

  CVE-ID

  CVE-2014-4495: Google Project Zero'dan Ian Beer

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlarla hazırlanmış veya güvenliği ihlal edilmiş iOS uygulamaları çekirdekteki adresleri belirleyebilir

  Açıklama: mach_port_kobject çekirdek arayüzü, çekirdek adreslerini ve yığın permütasyon değerini sızdırıyordu; bu da adres alanı düzenini rastgele hale gtirme korumasının atlanmasına yol açabiliyordu. Bu sorun, ürün konfigürasyonlarında mach_port_kobject arabirimi devre dışı bırakılarak giderildi.

  CVE-ID

  CVE-2014-4496: TaiG Jailbreak Team

• Apple TV

  CVE-2014-4381: Google Project Zero'dan Ian Beer

  Impact: A malicious, sandboxed app can compromise the networkd daemon

  Description: Multiple type confusion issues existed in networkd's handling of interprocess communication. By sending a maliciously formatted message to networkd, it could be possible to execute arbitrary code as the networkd process. The issue is addressed through additional type checking.

  CVE-ID

  CVE-2014-4492 : Ian Beer of Google Project Zero

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Stil sayfalarının çapraz kaynaklardan yüklenmesi verilerin sızdırılmasına izin verebilir

  Açıklama: img öğesine yüklenen bir SVG, çapraz kaynaklı bir CSS dosyası yükleyebilir. SVG'lerde harici CSS referanslarının engellenmesinin geliştirilmesiyle bu sorun giderildi.

  CVE-ID

  CVE-2014-4465: iSEC Partners'dan Rennie deGraaf

• Apple TV

  İlgili ürünler: Apple TV 3. nesil ve sonraki modelleri

  Etki: Kötü amaçlarla hazırlanmış bir web sitesini ziyaret etmek, bir uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütmeye yol açabilir

  Açıklama: WebKit'te birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

  CVE-ID

  CVE-2014-3192: cloudfuzzer

  CVE-2014-4459

  CVE-2014-4466: Apple

  CVE-2014-4468: Apple

  CVE-2014-4469: Apple

  CVE-2014-4470: Apple

  CVE-2014-4471: Apple

  CVE-2014-4472: Apple

  CVE-2014-4473: Apple

  CVE-2014-4474: Apple

  CVE-2014-4475: Apple

  CVE-2014-4476: Apple

  CVE-2014-4477: HP Zero Day Initiative'den lokihardt@ASRT

  CVE-2014-4479: Apple

• Apple TV

  İlgili ürünler: iPhone 4s ve sonraki modeller, iPod touch (5. nesil) ve sonraki modeller, iPad 2 ve sonraki modeller

  Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: Kerberos libgssapi kitaplığı, sarkan bir işaretçiyle bağlam belirteci döndürüyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2014-5352