關於 Apple TV 7.0.3 的安全性內容

本文說明 Apple TV 7.0.3 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

Apple TV 7.0.3

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意製作的 afc 指令可能會允許存取檔案系統受保護的部分

    說明:afc 的符號連結機制存在漏洞。新增其他路徑檢查後,已解決此問題。

    CVE-ID

    CVE-2014-4480:TaiG Jailbreak 團隊

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:開啟惡意製作的 PDF 檔案時,可能導致應用程式意外終止或執行任意程式碼

    說明:處理 PDF 檔案時,出現整數溢位。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4481:Binamuse VRT 的 Felipe Andres Manzano,透過 iSIGHT Partners GVP Program

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:本機使用者可能得以執行未簽署的程式碼

    說明:處理包含重疊區段的 Mach-O 執行檔的方式,存在狀態管理問題。改良區段大小的驗證後,已解決此問題

    CVE-ID

    CVE-2014-4455:TaiG Jailbreak 團隊

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:開啟惡意製作的 PDF 檔案時,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理字體檔案時,出現緩衝區溢位。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4483:Apple

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:處理惡意製作的 .dfont 檔案時,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理 .dfont 檔案時,有記憶體損毀的問題。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4484:與 HP 的 Zero Day Initiative 計劃合作的 Gaurav Baruah

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:檢視惡意製作的 XML 檔案時,可能導致應用程式意外終止或任意程式碼得以執行

    說明:XML 剖析器出現緩衝區溢位。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4485:Apple

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:IOAcceleratorFamily 處理資源列表時,出現 null 指標取值的問題。移除不必要的程式碼後,已解決此問題。

    CVE-ID

    CVE-2014-4486:Google Project Zero 的 Ian Beer

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:IOHIDFamily 出現緩衝區溢位。改良大小的驗證後,已解決此問題。

    CVE-ID

    CVE-2014-4487:TaiG Jailbreak 團隊

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:IOHIDFamily 處理資源佇列元資料時,出現驗證問題。改良元資料的驗證後,已解決此問題。

    CVE-ID

    CVE-2014-4488:Apple

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:IOHIDFamily 處理事件佇列時,出現 null 指標取值的問題。改良驗證後,已解決此問題。

    CVE-ID

    CVE-2014-4489:@beist

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意製作或遭到攻擊的 iOS 應用程式可能可以判斷核心中的位址

    說明:處理與核心延伸功能的相關 API 時,存在資訊外洩問題。包含 OSBundleMachOHeaders 金鑰的回應可能涵蓋核心位址,這可能有助於略過位址空間佈局隨機化保護。傳回位址之前取消滑動位址後,已解決此問題。

    CVE-ID

    CVE-2014-4491:@PanguTeam、Stefan Esser

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:核心共享的記憶體子系統出現問題,這允許攻擊者寫入原僅供唯讀的記憶體。更加嚴格檢查共享記憶體權限後,已解決此問題。

    CVE-ID

    CVE-2014-4495:Google Project Zero 的 Ian Beer

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意製作或遭到攻擊的 iOS 應用程式可能可以判斷核心中的位址

    說明:mach_port_kobject 核心介面會洩漏核心位址和堆積排列值,這可能會有助於略過位址空間佈局隨機化保護。停用生產配置中的 mach_port_kobject 介面後,已解決此問題。

    CVE-ID

    CVE-2014-4496:TaiG Jailbreak 團隊

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:惡意的沙箱化 app 會洩漏 networkd 服務程式

    說明:networkd 處理程序間通訊時,出現多種類型混淆問題。只要傳送惡意格式化的訊息至 networkd,系統即有可能將任意程式碼當做 networkd 程序執行。增加類型檢查後,已解決此問題。

    CVE-ID

    CVE-2014-4492:Google Project Zero 的 Ian Beer

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:跨來源載入樣式表單,可能會允許資料外滲

    說明:在 img 元素中載入 SVG 可能會跨來源載入 CSS 檔案。加強阻擋 SVG 中的外來 CSS 參照後,已解決此問題。

    CVE-ID

    CVE-2014-4465:iSEC Partners 的 Rennie deGraaf

  • Apple TV

    適用於:Apple TV 第 3 代和後續機型

    影響:參訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼

    說明:WebKit 有多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2014-3192:cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466:Apple

    CVE-2014-4468:Apple

    CVE-2014-4469:Apple

    CVE-2014-4470:Apple

    CVE-2014-4471:Apple

    CVE-2014-4472:Apple

    CVE-2014-4473:Apple

    CVE-2014-4474:Apple

    CVE-2014-4475:Apple

    CVE-2014-4476:Apple

    CVE-2014-4477:與 HP 的 Zero Day Initiative 計劃合作的 lokihardt@ASRT

    CVE-2014-4479:Apple

  • Apple TV

    適用對象:iPhone 4s 及後續機型、iPod touch(第 5 代)及後續機型、iPad 2 及後續機型

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:Kerberos libgssapi 資源庫傳回含有搖擺指標的內容代號。改良狀態管理後,已解決此問題。

    CVE-ID

    CVE-2014-5352

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: