Apple TV 7.0.3'ün güvenlik içeriği hakkında

Bu belgede, Apple TV 7.0.3'ün güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

Apple TV 7.0.3

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir afc komutu dosya sisteminin korunan bölümlerine erişime izin verebilir

    Açıklama: afc'nin simgesel bağlantı sağlama mekanizmasında bir güvenlik açığı vardı. Bu sorun ek yol denetimleri ilave edilerek giderildi.

    CVE kimliği

    CVE-2014-4480: TaiG Jailbreak Ekibi

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4481: iSIGHT Partners GVP Program aracılığıyla Binamuse VRT'den Felipe Andres Manzano

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Yerel bir kullanıcı imzalanmamış kod çalıştırabilir

    Açıklama: Çakışan bölümleri olan Mach-O çalıştırılabilir dosyalarının işlenmesinde bir durum yönetimi sorunu vardı. Bu sorun, bölüm boyutu doğrulamasının iyileştirilmesiyle giderildi

    CVE kimliği

    CVE-2014-4455: TaiG Jailbreak Ekibi

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4483: Apple

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasını işlemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir

    Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4484: HP Zero Day Initiative ile çalışan Gaurav Baruah

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasını görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir

    Açıklama: XML ayrıştırıcıda arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4485: Apple

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'nin kaynak listelerini işlemesinde null işaretçi başvurusu vardı. Bu sorun gereksiz kod kaldırılarak giderildi.

    CVE kimliği

    CVE-2014-4486: Google Project Zero'dan Ian Beer

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Bu sorun boyut doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4487: TaiG Jailbreak Ekibi

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde doğrulama sorunu vardı. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4488: Apple

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin olay kuyruklarını işlemesinde null işaretçi başvurusu vardı. Bu sorun, doğrulama iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4489: @beist

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçla oluşturulmuş veya gizliliği ihlal edilmiş iOS uygulamaları çekirdek adreslerini belirleyebilir

    Açıklama: Çekirdek uzantılarıyla ilişkili API'lerin işlenmesi sırasında bilgi ifşa etme sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, adres alanı rastgele düzen belirleme korumasının devre dışı bırakılmasına yardımcı olabilecek çekirdek adresleri içerebilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek giderildi.

    CVE kimliği

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdek paylaşımlı bellek alt sisteminde saldırganların salt okunur olarak tasarlanan belleğe yazmalarına izin veren bir sorun vardı. Bu sorun paylaşılan bellek izinleri daha sıkı kontrol edilerek giderildi.

    CVE kimliği

    CVE-2014-4495: Google Project Zero'dan Ian Beer

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçla oluşturulmuş veya gizliliği ihlal edilmiş iOS uygulamaları çekirdek adreslerini belirleyebilir

    Açıklama: mach_port_kobject çekirdek arabirimi, adres alanı düzeni rastgeleleştirme korumasını atlamaya yardımcı olabilecek şekilde çekirdek adreslerini ve yığın permütasyon değerini sızdırıyordu. Bu sorun, ürün yapılandırmalarında mach_port_kobject arabirimi devre dışı bırakılarak giderildi.

    CVE kimliği

    CVE-2014-4496: TaiG Jailbreak Ekibi

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlı, korumalı alandaki bir uygulama networkd arka plan uygulamasının güvenliğini tehlikeye atabilir

    Açıklama: networkd'nin işlemler arası iletişimi işlemesinde birden çok tür karışıklığı sorunu vardı. networkd'ye kötü amaçla biçimlendirilmiş bir mesaj göndererek, networkd işlemi olarak rastgele kod yürütülebilirdi. Bu sorun ek tür denetimiyle giderildi.

    CVE kimliği

    CVE-2014-4492: Google Project Zero'dan Ian Beer

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Stil sayfaları, verilerin dışarı sızmasına neden olabilecek şekilde birden çok kaynaktan yüklenebiliyordu

    Açıklama: img öğesinde bulunan bir SVG, çapraz kaynaklı CSS dosyası yükleyebiliyordu. Bu sorun SVG'lerdeki harici CSS referanslarının engellenmesi artırılarak giderildi.

    CVE kimliği

    CVE-2014-4465: iSEC Partners'dan Rennie deGraaf

  • Apple TV

    İlgili ürünler: Apple TV 3. nesil ve sonrası

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: HP Zero Day Initiative ile çalışan lokihardt@ASRT

    CVE-2014-4479: Apple

  • Apple TV

    İlgili ürünler: iPhone 4s ve sonrası, iPod touch (5. nesil) ve sonrası, iPad 2 ve sonrası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Kerberos libgssapi arşivi, bağlama işaretçisi içeren bir bağlam belirteci döndürüyordu. Bu sorun durum yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-5352

  •  

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: