Giới thiệu về nội dung bảo mật của Bản cập nhật phần mềm Apple TV 4.4

Tài liệu này mô tả nội dung bảo mật của Bản cập nhật phần mềm Apple TV 4.4.

Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.

Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".

Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.

Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple.

Bản cập nhật phần mềm Apple TV 4.4

  • Apple TV

    Phạm vi áp dụng: Apple TV 4.0 đến 4.3

    Tác động: Kẻ tấn công ở vị trí mạng ưu tiên có thể chặn thông tin đăng nhập hoặc thông tin nhạy cảm khác của người dùng

    Mô tả: Nhiều tổ chức cấp chứng chỉ do DigiNotar quản lý đã cấp các chứng chỉ gian lận. Vấn đề này được giải quyết bằng cách loại bỏ DigiNotar khỏi danh sách các chứng nhận gốc đáng tin cậy, khỏi danh sách các tổ chức chứng nhận Xác thực mở rộng (EV) và bằng cách thiết lập cấu hình các cài đặt tin cậy hệ thống mặc định để các chứng nhận của DigiNotar, bao gồm cả những chứng nhận do các tổ chức khác cấp, không đáng tin cậy.

  • Apple TV

    Phạm vi áp dụng: Apple TV 4.0 đến 4.3

    Tác động: Chức năng hỗ trợ chứng chỉ X.509 chứa hàm băm MD5 có thể khiến người dùng bị giả mạo và lộ thông tin khi các cuộc tấn công gay gắt hơn

    Mô tả: iOS đã chấp nhận các chứng chỉ được ký bằng thuật toán băm MD5. Thuật toán này có những điểm yếu đã biết về khả năng mã hóa. Việc nghiên cứu sâu hơn hoặc tổ chức cấp chứng chỉ bị định cấu hình sai có thể đã cho phép tạo chứng chỉ X.509 chứa các giá trị do kẻ tấn công kiểm soát mà hệ thống tin cậy. Như vậy, các giao thức dựa trên X.509 sẽ có nguy cơ bị giả mạo, tấn công trung gian và lộ thông tin. Bản cập nhật này vô hiệu hóa chức năng hỗ trợ chứng chỉ X.509 chứa hàm băm MD5 cho bất kỳ mục đích sử dụng nào khác ngoài chứng chỉ gốc đáng tin cậy.

    CVE-ID

    CVE-2011-3427

  • Apple TV

    Phạm vi áp dụng: Apple TV 4.0 đến 4.3

    Tác động: Kẻ tấn công có thể giải mã một phần kết nối SSL

    Mô tả: Chỉ hỗ trợ các phiên bản SSLv3 và TLS 1.0 của SSL. Đây là những phiên bản có điểm yếu về giao thức khi sử dụng mật mã khối. Kẻ tấn công trung gian có thể đã chèn dữ liệu không hợp lệ, khiến kết nối đóng lại nhưng để lộ một số thông tin về dữ liệu trước đó. Nếu một kết nối bị tác động nhiều lần thì cuối cùng, kẻ tấn công có thể giải mã dữ liệu đang được gửi, chẳng hạn như mật khẩu. Cách giải quyết vấn đề này là thêm chức năng hỗ trợ TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    Phạm vi áp dụng: Apple TV 4.0 đến 4.3

    Tác động: Việc xem một hình ảnh TIFF được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

    Mô tả: Đã xảy ra lỗi tràn bộ đệm trong quá trình libTIFF xử lý các hình ảnh TIFF được mã hóa ở dạng CCITT Group 4.

    CVE-ID

    CVE-2011-0192 : Apple

  • Apple TV

    Phạm vi áp dụng: Apple TV 4.0 đến 4.3

    Tác động: Việc xem một hình ảnh TIFF được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

    Mô tả: Đã xảy ra lỗi tràn bộ đệm heap trong quá trình ImageIO xử lý các hình ảnh TIFF được mã hóa ở dạng CCITT Group 4.

    CVE-ID

    CVE-2011-0241 : Cyril CATTIAUX thuộc Tessi Technologies

  • Apple TV

    Phạm vi áp dụng: Apple TV 4.0 đến 4.3

    Tác động: Kẻ tấn công từ xa có thể đặt lại thiết bị

    Mô tả: Nhân không lấy lại được ngay bộ nhớ từ các kết nối TCP chưa hoàn chỉnh. Nếu kết nối được với dịch vụ nghe trên thiết bị iOS, kẻ tấn công có thể vắt kiệt tài nguyên hệ thống.

    CVE-ID

    CVE-2011-3259 : Wouter van der Veer thuộc Topicus I&I và Josh Enders

  • Apple TV

    Phạm vi áp dụng: Apple TV 4.0 đến 4.3

    Tác động: Kẻ tấn công ở vị trí mạng ưu tiên có thể khiến ứng dụng đột ngột dừng hoạt động hoặc gây ra tình trạng thực thi mã tùy ý

    Mô tả: Đã xảy ra lỗi tràn bộ đệm heap một byte trong quá trình libxml xử lý dữ liệu XML.

    CVE-ID

    CVE-2011-0216 : Billy Rios thuộc Google Security Team

  • Apple TV

    Phạm vi áp dụng: Apple TV 4.0 đến 4.3

    Tác động: Kẻ tấn công ở vị trí mạng ưu tiên có thể khiến ứng dụng đột ngột dừng hoạt động hoặc gây ra tình trạng thực thi mã tùy ý

    Mô tả: Đã xảy ra vấn đề hỏng bộ nhớ trong JavaScriptCore.

    CVE-ID

    CVE-2011-3232 : Aki Helin thuộc OUSPG

Lưu ý quan trọng: Việc đề cập đến các trang web và sản phẩm của bên thứ ba chỉ nhằm mục đích cung cấp thông tin và không tạo thành sự xác nhận hay đề xuất. Apple không chịu trách nhiệm đối với việc lựa chọn, sử dụng hay về hiệu quả của thông tin hoặc sản phẩm có trên trang web của bên thứ ba. Apple cung cấp thông tin này chỉ để thuận tiện cho người dùng. Apple chưa kiểm tra thông tin có trên các trang web này và không cam kết bất cứ điều gì về tính chính xác hay độ tin cậy của thông tin. Việc sử dụng bất cứ thông tin hay sản phẩm nào trên Internet vốn đều có rủi ro và Apple không chịu trách nhiệm về vấn đề này. Vui lòng hiểu rằng trang web của bên thứ ba hoạt động độc lập với Apple và Apple không có quyền kiểm soát nội dung trên trang web đó. Vui lòng liên hệ với nhà cung cấp để biết thêm thông tin.

Ngày đăng: