关于 Apple TV 7.2 的安全性内容
本文介绍 Apple TV 7.2 的安全性内容。
为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。
有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
如果可能,请使用 CVE ID 来查阅漏洞的详细信息。
要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。
Apple TV 7.2
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意应用程序或许能够以系统权限执行任意代码
说明:音频驱动程序使用的 IOKit 对象中存在验证问题。此问题已通过改进对元数据的验证得到解决。
CVE-ID
CVE-2015-1086
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:使用 NSXMLParser 的应用程序可能会被误用于泄露信息
说明:NSXMLParser 在处理 XML 时存在 XML 外部实体问题。此问题已通过不加载跨原点外部实体得到解决。
CVE-ID
CVE-2015-1092:Ikuya Fukumoto
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意应用程序可能能够确定内核内存布局
说明:IOAcceleratorFamily 中存在导致内核内存内容泄露的问题。此问题已通过删除不需要的代码得到解决。
CVE-ID
CVE-2015-1094:阿里巴巴移动安全团队的 Cererdlong
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意 HID 设备或许能够导致任意代码执行
说明:IOHIDFamily API 中存在内存损坏问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-1095:Andrew Church
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意应用程序可能能够确定内核内存布局
说明:IOHIDFamily 中存在导致内核内存内容泄露的问题。此问题已通过改进边界检查得到解决。
CVE-ID
CVE-2015-1096:IOActive 的 Ilja van Sprundel
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意应用程序可能能够确定内核内存布局
说明:MobileFrameBuffer 中存在导致内核内存内容泄露的问题。此问题已通过改进边界检查得到解决。
CVE-ID
CVE-2015-1097:IBM X-Force 应用程序安全研究团队的 Barak Gabai
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意应用程序或许可能导致系统拒绝服务
说明:内核的 setreuid 系统调用中存在紊乱情况。此问题已通过改进状态管理得到解决。
CVE-ID
CVE-2015-1099:Google Inc. 的 Mark Mentovai
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意应用程序可能使用已泄露的服务(用于通过减少的权限运行)升级权限
说明:setreuid 和 setregid 系统调用无法永久降低权限。此问题已通过正确降低权限得到解决。
CVE-ID
CVE-2015-1117:Google Inc. 的 Mark Mentovai
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意应用程序或许能够造成系统意外终止或读取内核内存
说明:内核中存在越界内存访问问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-1100:m00nbsd 的 Maxime Villard
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:恶意应用程序可能能够以系统权限执行任意代码
说明:内核中存在内存损坏问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-1101:与 HP 的 Zero Day Initiative 合作的 lokihardt@ASRT
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:拥有特权网络地位的攻击者或许能够导致服务遭拒
说明:TCP 标题的处理中存在状态不一致。此问题已通过改进状态处理得到解决。
CVE-ID
CVE-2015-1102:Kaspersky Lab 的 Andrey Khudyakov 和 Maxim Zhuravlev
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:拥有特权网络地位的攻击者或许能够将用户通信重定向至任意主机
说明:iOS 上默认启用 ICMP 重定向。此问题已通过停用 ICMP 重定向得到解决。
CVE-ID
CVE-2015-1103:Zimperium Mobile Security Labs
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:远程攻击者或许能够绕过网络过滤器
说明:系统会将来自远程网络接口的某些 IPv6 数据包视为本地数据包。此问题已通过拒绝这些数据包得到解决。
CVE-ID
CVE-2015-1104:Google 安全团队的 Stephen Roettger
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:远程攻击者或可导致服务遭到拒绝
说明:处理 TCP 带外数据时存在状态不一致问题。此问题已通过改进状态管理得到解决。
CVE-ID
CVE-2015-1105:Sandstorm.io 的 Kenton Varda
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:处理恶意制作的配置描述文件可能导致应用程序意外终止
描述:处理配置描述文件时存在内存损坏问题。此问题已通过改进边界检查得到解决。
CVE-ID
CVE-2015-1118:FireEye, Inc. 的 Zhaofeng Chen、Hui Xue、Yulong Zhang 和 Tao Wei
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:下载播客资源时可能向外部服务器发送不必要的信息
说明:下载用户订阅的播客资源时,会向外部服务器发送唯一标识符。此问题已通过删除这些标识符得到解决。
CVE-ID
CVE-2015-1110:Alex Selivanov
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:第三方应用或可访问硬件标识符
说明:第三方应用沙箱中存在信息泄露问题。此问题已通过改进沙箱描述文件得到解决。
CVE-ID
CVE-2015-1114
Apple TV
适用于:Apple TV 第 3 代及更新机型
影响:访问恶意制作的网站可能会导致任意代码执行
说明:WebKit 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-1068:Apple
CVE-2015-1069:与 HP 的 Zero Day Initiative 合作的 lokihardt@ASRT
CVE-2015-1070:Apple
CVE-2015-1071:Apple
CVE-2015-1072
CVE-2015-1073:Apple
CVE-2015-1074:Apple
CVE-2015-1076
CVE-2015-1077:Apple
CVE-2015-1078:Apple
CVE-2015-1079:Apple
CVE-2015-1080:Apple
CVE-2015-1081:Apple
CVE-2015-1082:Apple
CVE-2015-1083:Apple
CVE-2015-1119:赛格德大学的 Renata Hodovan/Samsung Electronics
CVE-2015-1120:Apple
CVE-2015-1121:Apple
CVE-2015-1122:Apple
CVE-2015-1123:Google Inc. 的 Randy Luecke 和 Anoop Menon
CVE-2015-1124:Apple
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。