关于 Apple TV 7 的安全性内容

本文介绍了 Apple TV 7 的安全性内容。

为保护我们的客户,在没有进行详尽调查并推出任何必要的修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下会使用 CVE ID 来引用漏洞以提供更多信息。

要了解其他安全性更新,请参阅“Apple 安全性更新”。

Apple TV 7

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:攻击者可能会获得 WiFi 凭证

    描述:攻击者本可以模拟 WiFi 接入点、通过 LEAP 进行认证、破坏 MS-CHAPv1 哈希以及使用衍生凭证认证预期接入点,即使该接入点支持更强大的认证方法也是如此。已通过删除对 LEAP 的支持解决这个问题。

    CVE-ID

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax, and Wim Lamotte of Universiteit Hasselt

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:可实际操作设备的攻击者或能访问日志中的敏感用户信息

    描述:敏感用户信息会被记录在日志中。已通过减少日志记录的信息解决这个问题。

    CVE-ID

    CVE-2014-4357 : Heli Myllykoski of OP-Pohjola Group

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:拥有特权网络地位的攻击者或许能够令设备认为自己处于最新状态(实际上可能并不是)

    描述:更新检查响应处理中存在验证问题。设置为将来日期的 Last-Modified 响应头中的虚假日期曾被用于后续更新请求中的 If-Modified-Since 检查。已通过验证 Last-Modified 标头解决这个问题。

    CVE-ID

    CVE-2014-4383 : Raul Siles of DinoSec

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:打开恶意制作的 PDF 文件可能会导致应用程序意外终止或任意代码执行

    描述:PDF 文件的处理中存在整数溢出问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:打开恶意制作的 PDF 文件可能会导致应用程序意外终止或信息泄露

    描述:PDF 文件的处理中存在越界内存读取问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:应用程序可能会导致系统意外终止

    描述:IOAcceleratorFamily API 参数的处理中存在空指针取消引用问题。已通过改进对 IOAcceleratorFamily API 参数的验证解决这个问题。

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    条目添加于 2020 年 2 月 3 日
  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:设备可能会意外重新启动

    描述:IntelAccelerator 驱动程序中存在空指针取消引用问题。已通过改进错误处理解决这个问题。

    CVE-ID

    CVE-2014-4373 : cunzhang from Adlab of Venustech

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序也许能够读取内核指针,这些指针可用来绕过内核地址空间布局随机化

    描述:IOHIDFamily 函数的处理中存在越界读取问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-4379 : Ian Beer of Google Project Zero

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:IOHIDFamily 在处理键映射属性时存在堆缓冲区溢出问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-4404 : Ian Beer of Google Project Zero

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:IOHIDFamily 在处理键映射属性时存在空指针取消引用问题。已通过改进对 IOHIDFamily 键映射属性的验证解决这个问题。

    CVE-ID

    CVE-2014-4405 : Ian Beer of Google Project Zero

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序或许能够以内核权限执行任意代码

    描述:IOHIDFamily 内核扩展中存在越界写入问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-4380 : cunzhang from Adlab of Venustech

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序或许能够读取内核内存中的未初始化数据

    描述:IOKit 函数的处理中存在未初始化的内存访问问题。已通过改进内存初始化解决这个问题。

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:处理 IODataQueue 对象的某些元数据栏位时存在验证问题。已通过改进对元数据的验证解决这个问题。

    CVE-ID

    CVE-2014-4418 : Ian Beer of Google Project Zero

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:处理 IODataQueue 对象的某些元数据栏位时存在验证问题。已通过改进对元数据的验证解决这个问题。

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:IOKit 函数的处理中存在整数溢出问题。已通过改进 IOKit API 参数的验证解决这个问题。

    CVE-ID

    CVE-2014-4389 : Ian Beer of Google Project Zero

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:本地用户或许能够确定内核内存布局

    描述:网络统计数据界面中存在多个未初始化内存问题,可导致内核内存内容泄露。已通过额外的内存初始化解决这个问题。

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna of the Google Security Team

    CVE-2014-4419 : Fermin J. Serna of the Google Security Team

    CVE-2014-4420 : Fermin J. Serna of the Google Security Team

    CVE-2014-4421 : Fermin J. Serna of the Google Security Team

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:拥有特权网络地位的人员或可导致服务遭拒

    描述:IPv6 数据包的处理中存在紊乱情况问题。已通过改进锁定状态检查解决这个问题。

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:本地用户或许能够导致系统意外终止或在内核中执行任意代码

    描述:Mach 端口的处理中存在双重释放问题。已通过改进对 Mach 端口的验证解决这个问题。

    CVE-ID

    CVE-2014-4375

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:本地用户或许能够导致系统意外终止或在内核中执行任意代码

    描述:rt_setgate 中存在越界读取问题。这可能会导致内存泄露或内存损坏。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-4408

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:某些内核强化措施可能会被绕过

    描述:某些内核强化措施中采用的“early”随机数发生器并未可靠加密,部分输出结果会暴露于用户空间,从而允许绕过这些强化措施。已通过用加密安全算法取代随机数发生器并使用 16 位 seed 解决这个问题。

    CVE-ID

    CVE-2014-4422 : Tarjei Mandt of Azimuth Security

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:恶意应用程序或许能够以根权限执行任意代码

    描述:Libnotify 中存在越界写入问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-4381 : Ian Beer of Google Project Zero

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:本地用户或许能够更改任意文件的权限

    描述:syslogd 在更改文件权限时跟随了符号链接。已通过改进对符号链接的处理解决这个问题。

    CVE-ID

    CVE-2014-4372 : Tielei Wang and YeongJin Jang of Georgia Tech Information Security Center (GTISC)

  • Apple TV

    适用于:Apple TV 第 3 代及更新机型

    影响:拥有特权网络地位的攻击者或能导致应用程序意外终止或任意代码执行

    说明:WebKit 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2013-6663 : Atte Kettunen of OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : Google Chrome Security Team

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel of Google

    CVE-2014-4411 : Google Chrome Security Team

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 : Apple

    CVE-2014-4415 : Apple

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: