關於 Apple TV 6.0 的安全性內容

瞭解關於 Apple TV 6.0 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如可能,請利用 CVE ID 參閱有關漏洞的進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

Apple TV 6.0

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 PDF 檔案中的 JBIG2 編碼資料時,會發生緩衝區溢位。軟體更新會追加界限檢查機制,這個問題已經解決。

    CVE-ID

    CVE-2013-1025:Google 安全小組的 Felix Groebert

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:播放惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 Sorenson 編碼影片檔案時,會發生緩衝區溢位。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-1019:與 HP Zero Day Initiative 計劃合作的 Tom Gallagher(Microsoft)和 Paul Bates(Microsoft)

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:具有經過授權之網路位置的攻擊者,即可攔截使用者憑證或其他敏感資訊

    說明:TrustWave(可信任的根 CA)已發出,之後撤銷來自其可信任錨點之一的子 CA 憑證。這個子 CA 使傳輸層安全性(TLS)保護的通訊容易截取。這個更新已加入相關的子 CA 憑證至 OS X 的不信任憑證列表。

    CVE-ID

    CVE-2013-5134

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:對裝置執行任意執式碼的攻擊者可能可以在每次重新開機時持續執行程式碼

    說明:dyld 的 openSharedCacheFile() 函數中存在多個緩衝區溢位。界限檢查機制已經改良,已解決這些問題。

    CVE-ID

    CVE-2013-3950:Stefan Esser

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 PDF 檔案中的 JPEG2000 編碼資料時,會發生緩衝區溢位。軟體更新會追加界限檢查機制,這個問題已經解決。

    CVE-ID

    CVE-2013-1026:Google 安全小組的 Felix Groebert

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:惡意的本機應用程式可能導致系統意外中止

    說明:在 IOCatalogue 中存在空的指標解除參照。已透過其他類型的檢查機制解決此問題。

    CVE-ID

    CVE-2013-5138:Will Estes

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:執行惡意應用程式可能會導致在核心中執行任意程式碼

    說明:在 IOSerialFamily 驅動程式中存在超出範圍陣列。軟體更新會追加界限檢查機制,這個問題已經解決。

    CVE-ID

    CVE-2013-5139:@dent1zt

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:遠端攻擊者可以讓裝置意外重新啟動

    說明:傳送無效封包片段至裝置可能會觸發核心宣告,從而導致裝置重新啟動。已透過其他的封包片段驗證解決此問題。

    CVE-ID

    CVE-2013-5140:Codenomicon 的 Joonas Kuorilehto、與 CERT-FI 合作的匿名研究者、Stonesoft 漏洞分析小組的 Antti Levomäki 和 Lauri Virtanen

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:區域網路中的攻擊者可能引發拒絕服務

    說明:區域網路中的攻擊者可以傳送特別製作的 IPv6 ICMP 封包,結果導致高 CPU 負載。已在驗證 ICMP 封包的總和檢查之前限制其傳輸率,藉此解決此問題。

    CVE-ID

    CVE-2011-2391:Marc Heuse

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:核心堆疊記憶體可能會洩漏給本機使用者

    說明:在 msgctl 和 segctl 等 API 中存在資訊洩漏問題。已藉由初始化從核心傳回的資料結構解決此問題。

    CVE-ID

    CVE-2013-5142:Kenx Technology, Inc 的 Kenzley Alphonse

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:無權限處理程序可以取得核心記憶體的內容存取權,結果導致權限升級

    說明:在 mach_port_space_info API 中存在資訊洩漏問題。已藉由初始化從核心傳回之結構的 iin_collision 欄位解決此問題。

    CVE-ID

    CVE-2013-3953:Stefan Esser

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:無權限處理程序可能可以引發系統意外中止或任意程式碼執行

    說明:處理 posix_spawn API 的引數時存在記憶體毀損問題。軟體更新會追加界限檢查機制,這個問題已經解決。

    CVE-ID

    CVE-2013-3954:Stefan Esser

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:未獲授權的處理程序可以修改載入的核心延伸功能集

    說明:KEXTD 處理來自未獲授權傳送者的 IPC 訊息時會有問題。已藉由新增其他授權檢查解決此問題。

    CVE-ID

    CVE-2013-5145:「Rainbow PRISM」

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:檢視惡意製作的網頁可能導致非預期的應用程式終止或程式碼自動執行

    說明:libxml 存在多重記憶體毀損問題。已藉由將 libxml 更新至 2.9.0 版解決此問題。

    CVE-ID

    CVE-2011-3102:Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807:Jüri Aedla

    CVE-2012-5134:Google Chrome 安全小組(Jüri Aedla)

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:檢視惡意製作的網頁可能導致非預期的應用程式終止或程式碼自動執行

    說明:在 libxslt 中存在多重記憶體毀損問題。已藉由更新 libxslt 至 1.1.28 版解決這些問題。

    CVE-ID

    CVE-2012-2825:Nicolas Gregoire

    CVE-2012-2870:Nicolas Gregoire

    CVE-2012-2871:Fortinet 旗下 FortiGuard Labs 的 Kai Lu、Nicolas Gregoire

  • Apple TV

    適用於:Apple TV 第 2 代和後續機型

    影響:瀏覽惡意製作的網站時,可能導致應用程式意外終止或執行任意程式碼

    說明:WebKit 有多個記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2013-0879:OUSPG 的 Atte Kettunen

    CVE-2013-0991:Chromium 開發社群的 Jay Civelli

    CVE-2013-0992:Google Chrome 安全小組(Martin Barbella)

    CVE-2013-0993:Google Chrome 安全小組(Inferno)

    CVE-2013-0994:Google 的 David German

    CVE-2013-0995:Google Chrome 安全小組(Inferno)

    CVE-2013-0996:Google Chrome 安全小組(Inferno)

    CVE-2013-0997:與 HP Zero Day Initiative 計劃合作的 Vitaliy Toropov

    CVE-2013-0998:與 HP Zero Day Initiative 計劃合作的 pa_kt

    CVE-2013-0999:與 HP Zero Day Initiative 計劃合作的 pa_kt

    CVE-2013-1000:Google 安全小組的 Fermin J. Serna

    CVE-2013-1001:Ryan Humenick

    CVE-2013-1002:Sergey Glazunov

    CVE-2013-1003:Google Chrome 安全小組(Inferno)

    CVE-2013-1004:Google Chrome 安全小組(Martin Barbella)

    CVE-2013-1005:Google Chrome 安全小組(Martin Barbella)

    CVE-2013-1006:Google Chrome 安全小組(Martin Barbella)

    CVE-2013-1007:Google Chrome 安全小組(Inferno)

    CVE-2013-1008:Sergey Glazunov

    CVE-2013-1010:miaubiz

    CVE-2013-1011

    CVE-2013-1037:Google Chrome 安全小組

    CVE-2013-1038:Google Chrome 安全小組

    CVE-2013-1039:own-hero Research 與 iDefense VCP 合作

    CVE-2013-1040:Google Chrome 安全小組

    CVE-2013-1041:Google Chrome 安全小組

    CVE-2013-1042:Google Chrome 安全小組

    CVE-2013-1043:Google Chrome 安全小組

    CVE-2013-1044:Apple

    CVE-2013-1045:Google Chrome 安全小組

    CVE-2013-1046:Google Chrome 安全小組

    CVE-2013-1047:miaubiz

    CVE-2013-2842:Cyril Cattiaux

    CVE-2013-5125:Google Chrome 安全小組

    CVE-2013-5126:Apple

    CVE-2013-5127:Google Chrome 安全小組

    CVE-2013-5128:Apple

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商

發佈日期: