Apple TV 7.2.1'in güvenlik içeriği hakkında

Bu belgede, Apple TV 7.2.1'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

Apple TV 7.2.1

  • bootp

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir Wi-Fi ağı, bir aygıtın daha önce eriştiği ağları belirleyebilir

    Açıklama: Bir Wi-Fi ağına bağlanıldığında, iOS, DNAv4 protokolü üzerinden önceden erişilen ağların MAC adreslerini yayınlayabilir. Bu sorun, şifrelenmemiş Wi-Fi ağlarında DNAv4'ün devre dışı bırakılmasıyla giderildi.

    CVE kimliği

    CVE-2015-3778: Oxford Internet Institute'dan Piers O'Hanlon, Oxford Üniversitesi (EPSRC Being There projesi)

  • CloudKit

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir uygulama, daha önce giriş yapan bir kullanıcının iCloud kullanıcı kaydına erişebilir

    Açıklama: Kullanıcılar çıkış yaparken CloudKit'te bir durum tutarsızlığı sorunu vardı. Bu sorun, durum işlemesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3782: University of Toronto'dan Deepkanwal Plaha

  • CFPreferences

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir uygulama diğer uygulamaların yönetilen tercihlerini okuyabilir

    Açıklama: Üçüncü taraf uygulama korumalı alanında bir sorun vardı. Bu sorun, üçüncü taraf korumalı alan profili iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3793: Appthority Mobility Threat Team'den Andreas Weinlein

  • Kod İmzalama

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir uygulama imzalanmamış kod yürütebilir

    Açıklama: Özel olarak oluşturulmuş bir çalıştırılabilir dosyada, imzalanmış koda imzalanmamış kod eklenmesine izin veren bir sorun vardı. Bu sorun, imza doğrulama kodunun geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2015-3806: TaiG Jailbreak Ekibi

  • Kod İmzalama

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Özel olarak oluşturulmuş bir çalıştırılabilir dosya, imzalanmamış, kötü amaçlı kodların yürütülmesine izin verebilir

    Açıklama: Çoklu mimari özelliğine sahip çalıştırılabilir dosyaların değerlendirilmesinde, imzalanmamış kodların yürütülmesine izin verebilen bir sorun vardı. Bu sorun, çalıştırılabilir dosyalarının doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3803: TaiG Jailbreak Ekibi

  • Kod İmzalama

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Yerel bir kullanıcı imzalanmamış kod çalıştırabilir

    Açıklama: Mach-O dosyalarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun ek denetimler ilave edilerek giderildi.

    CVE kimliği

    CVE-2015-3802: TaiG Jailbreak Ekibi

    CVE-2015-3805: TaiG Jailbreak Ekibi

  • CoreMedia Oynatma

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: CoreMedia Oynatma'da bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Ekibi

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Ekibi

  • DiskImages

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir DMG dosyasını işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

    Açıklama: Hatalı DMG görüntülerinin ayrıştırılmasında bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3800: Yahoo Pentest Ekibi'nden Frank Graziano

  • FontParser

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Ekibi

    CVE-2015-5775: Apple

  • ImageIO

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir tiff dosyasını işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: .tiff dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5758: Apple

  • ImageIO

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş web içeriğini ayrıştırmak işlem belleğinin açığa çıkmasına neden olabilir

    Açıklama: ImageIO'nun PNG görüntülerini işlemesinde sıfırlanmamış bellek erişimi sorunu vardı. Bu sorun, bellek sıfırlaması iyileştirilerek ve PNG görüntülerine ek doğrulama ilave edilerek giderildi.

    CVE kimliği

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş web içeriğini ayrıştırmak işlem belleğinin açığa çıkmasına neden olabilir

    Açıklama: ImageIO'nun TIFF görüntülerini işlemesinde sıfırlanmamış bellek erişimi sorunu vardı. Bu sorun bellek sıfırlaması iyileştirilerek ve TIFF görüntülerine ek doğrulama ilave edilerek giderildi.

    CVE kimliği

    CVE-2015-5782: Michal Zalewski

  • IOKit

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir plist'in ayrıştırılması, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

    Açıklama: Hatalı plist'lerin işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3776: Facebook Security'den Teddy Reed, Jinx Germany'den Patrick Stein (@jollyjinx)

  • IOHIDFamily

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5774: TaiG Jailbreak Ekibi

  • Çekirdek

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir uygulama çekirdek bellek düzenini belirleyebilir

    Açıklama: mach_port_space_info arabiriminde çekirdek belleği düzeninin açığa çıkmasına neden olan bir sorun vardı. Bu sorun mach_port_space_info arabirimi etkisizleştirilerek giderildi.

    CVE kimliği

    CVE-2015-3766: PanguTeam, Alibaba Mobile Security Ekibi'nden Cererdlong

  • Çekirdek

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOKit işlevlerinin işlemesinde bir tamsayı taşması sorunu vardı. Bu sorun IOKit API bağımsız değişkenlerinin doğrulanması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir normal ifadeyi işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: TRE arşivinde bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3796: Google Project Zero'dan Ian Beer

    CVE-2015-3797: Google Project Zero'dan Ian Beer

    CVE-2015-3798: Google Project Zero'dan Ian Beer

  • Libinfo

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Yetkisiz bir saldırgan uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: AF_INET6 yuvalarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5776: Apple

  • libpthread

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Sistem çağrılarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2015-5757: Qihoo 360'dan Lufeng Li

  • libxml2

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir XML belgesini ayrıştırmak kullanıcı bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: XML dosyalarının ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3807: Michal Zalewski

  • libxml2

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Libxml2 2.9.2 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bunlardan en ciddi olanı bir uzak saldırgan tarafından servis reddi oluşturulmasına olanak verebiliyordu

    Açıklama: libxml2 2.9.2 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bu sorun, libxml2 sürümünün 2.9.2'ye güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2012-6685: Google'dan Felix Groebert

    CVE-2014-0191: Google'dan Felix Groebert

    CVE-2014-3660: Google'dan Felix Groebert

  • libxpc

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Hatalı XPC mesajlarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3795: Mathew Rowley

  • libxslt

    İlgili ürünler: Apple TV (4. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasını işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: libxslt'de bir tür karışıklığı sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7995: puzzor

  • Konum Altyapısı

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir

    Açıklama: Yol doğrulaması iyileştirilerek bir sembolik bağlantı sorunu giderildi.

    CVE kimliği

    CVE-2015-3759: Alibaba Mobile Security Ekibi'nden Cererdlong

  • Office Viewer

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir XML'i ayrıştırmak kullanıcı bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: XML ayrıştırmasında harici varlık referansı sorunu vardı. Bu sorun ayrıştırma işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3784: INTEGRITY S.A.'dan Bruno Morisson

  • QL Office

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş bir Office belgesinin ayrıştırılması, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Office belgelerinin ayrıştırılmasında bir bellek bozulması sorunu vardı. Bu sorun belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5773: Apple

  • Sandbox_profiles

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlı bir uygulama diğer uygulamaların yönetilen tercihlerini okuyabilir

    Açıklama: Üçüncü taraf uygulama korumalı alanında bir sorun vardı. Bu sorun, üçüncü taraf korumalı alan profili iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5749: Appthority Mobility Threat Team'den Andreas Weinlein

  • WebKit

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, uygulamanın beklenmeyen bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş web içeriği kaynaklar arasında görüntü verisi çalabilir

    Açıklama: URL'ler aracılığıyla alınan ve bir data:image kaynağına yeniden yönlendirilen görüntüler çapraz kaynaklarda çalınabiliyordu. Bu sorun, canvas taint takibinin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2015-3753: Adobe'den Antonio Sanso ve Damien Antipa

  • WebKit

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Kötü amaçlarla oluşturulmuş web içeriği HTTP Sıkı Aktarım Güvenliği altında bir kaynağa düz metin talepleri gönderimi başlatabilir

    Açıklama: İçerik Güvenliği Politikası raporu istekleri HTTP Sıkı Aktarım Güvenliği'ne (HSTS) uymuyordu. Bu sorun CSP'ye HSTS uygulanarak giderildi.

    CVE kimliği

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    İlgili ürünler: Apple TV (3. nesil)

    Etki: İçerik Güvenliği Politikası raporu istekleri çerezleri sızdırabilir

    Açıklama: İçerik Güvenliği Politikası raporu isteklerine çerezlerin nasıl eklendiğine bağlı iki sorun vardı. Çerezler, standardı ihlal edecek şekilde çapraz kaynak rapor istekleriyle gönderiliyordu. Normal tarama sırasında ayarlanan çerezler özel dolaşma sırasında gönderiliyordu. Bu sorunlar çerezlerin işlenme süreci iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    İlgili ürünler: Apple TV (3. nesil)

    Etki: Görüntü yüklemek bir web sitesinin İçerik Güvenliği Politikası yönergesini ihlal edebilir

    Açıklama: Video denetimlerine sahip web içeriğini işlemenin, web sitesinin İçerik Güvenliği Politikası yönergesini ihlal ederek nesne öğelerinde iç içe yerleştirilmiş görüntüleri yüklemesinden kaynaklanan bir sorun vardı. Bu sorun İçerik Güvenliği Politikası'nın zorunlu kılınması durumu iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: