Acerca del contenido de seguridad de Apple TV 7
En este documento se describe el contenido de seguridad de Apple TV 7.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Apple TV 7
Apple TV
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax y Wim Lamotte de la Universidad de Hasselt
Impact: An attacker can obtain Wi-Fi credentials
Description: An attacker could have impersonated a Wi-Fi access point, offered to authenticate with LEAP, broken the MS-CHAPv1 hash, and used the derived credentials to authenticate to the intended access point even if that access point supported stronger authentication methods. This issue was addressed by removing support for LEAP.
CVE-ID
CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax, and Wim Lamotte of Universiteit Hasselt
Apple TV
CVE-2014-4357: Heli Myllykoski del OP-Pohjola Group
Impact: An attacker with access to an device may access sensitive user information from logs
Description: Sensitive user information was logged. This issue was addressed by logging less information.
CVE-ID
CVE-2014-4357 : Heli Myllykoski of OP-Pohjola Group
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: un atacante con una posición de red privilegiada podría provocar que un dispositivo creyera estar actualizado, cuando en realidad no lo estaba.
Descripción: había un problema de validación en la gestión de respuestas de comprobación de actualizaciones. Se empleaban fechas falsas de las cabeceras de respuesta Last-Modified configuradas con fechas futuras para las comprobaciones If-Modified-Since en posteriores solicitudes de actualización. Este problema se ha solucionado validando la cabecera Last-Modified.
CVE-ID
CVE-2014-4383: Raul Siles de DinoSec
Apple TV
CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program
Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or arbitrary code execution
Description: An integer overflow existed in the handling of PDF files. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2014-4377 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: abrir un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la divulgación de información.
Descripción: había un problema de lectura de memoria fuera de los límites en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posterioresImpacto: una aplicación podría provocar el cierre inesperado del sistema. Descripción: había un problema de falta de referencia de puntero nulo en la gestión de argumentos de la API IOAcceleratorFamily. Este problema se ha solucionado mejorando la validación de los argumentos de la API IOAcceleratorFamily.CVE-2014-4369: Sarah (alias “winocm”) y Cererdlong de Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: el dispositivo podía reiniciarse de forma inesperada.
Descripción: había un problema de falta de referencia de puntero nulo en el controlador IntelAccelerator. Este problema se ha solucionado mejorando la gestión de errores.
CVE-ID
CVE-2014-4373: cunzhang de Adlab de Venustech
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: una aplicación malintencionada podría ser capaz de leer punteros del kernel, los cuales pueden emplearse para eludir la aleatorización del espacio de direcciones del kernel.
Descripción: había un problema de lectura fuera de los límites en la gestión de una función IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4379: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV de 3.ª generación y versiones posteriores
Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.
Descripción: había un problema de desbordamiento del búfer de pila en la gestión de propiedades de asignación de claves por parte de IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-4404: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV de 3.ª generación y versiones posteriores
Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema
Descripción: había un problema de falta de referencia de puntero nulo en la gestión de propiedades de asignación de claves por parte de IOHIDFamily. Este problema se ha solucionado mejorando la validación de las propiedades de asignación de claves de IOHIDFamily.
ID de CVE
CVE-2014-4405: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: había un problema de escritura fuera de los límites en la extensión de kernel IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-4380: cunzhang de Adlab de Venustech
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: una aplicación malintencionada podría ser capaz de leer datos no inicializados de la memoria del kernel.
Descripción: había un problema de acceso a la memoria no inicializada en la gestión de funciones de IOKit. Este problema se ha solucionado mejorando la inicialización de la memoria
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de sistema.
Descripción: había un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.
CVE-ID
CVE-2014-4418: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de sistema.
Descripción: había un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de raíz.
Descripción: había un desbordamiento de enteros en la gestión de las funciones IOKit. Este problema se ha solucionado mejorando la validación de los argumentos IOKit API.
CVE-ID
CVE-2014-4389: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: un usuario local podría determinar el diseño de memoria de kernel.
Descripción: había varios problemas de memoria no inicializada en la interfaz de estadísticas de red que provocaban la divulgación de contenido de la memoria del kernel. Este problema se ha solucionado mediante la inicialización adicional de la memoria.
CVE-ID
CVE-2014-4371: Fermín J. Serna de Google Security Team
CVE-2014-4419: Fermín J. Serna de Google Security Team
CVE-2014-4420: Fermín J. Serna de Google Security Team
CVE-2014-4421: Fermín J. Serna de Google Security Team
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: una persona con una posición de red privilegiada podría provocar una denegación de servicio.
Descripción: había un problema de condición de carrera en la gestión de paquetes IPv6. Este problema se ha solucionado mejorando la comprobación del estado de bloqueo.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel.
Descripción: había un problema de vulnerabilidad “double free” en la gestión de puertos Mach. Este problema se ha solucionado mejorando la validación de puertos Mach.
CVE-ID
CVE-2014-4375
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel.
Descripción: había un problema de lectura fuera de los límites en rt_setgate. Esto podía provocar la divulgación o la corrupción de memoria. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4408
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores.
Impacto: algunas medidas de refuerzo del kernel podrían eludirse
Descripción: el generador de números aleatorios “early” usado en determinadas medidas de refuerzo del kernel no era criptográficamente seguro y parte de su salida quedaba expuesta al espacio de usuarios, lo que daba lugar a la omisión de las medidas de refuerzo. Este problema se ha solucionado reemplazando el generador de números aleatorios por un algoritmo criptográficamente seguro y usando un núcleo de 16 bytes.
CVE-ID
CVE-2014-4422: Tarjei Mandt de Azimuth Security
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de raíz.
Descripción: había un problema de escritura fuera de los límites en Libnotify. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4381: Ian Beer de Google Project Zero
Apple TV
CVE-2014-4372: Tielei Wang y YeongJin Jang del Georgia Tech Information Security Center (GTISC)
Impact: A local user may be able to change permissions on arbitrary files
Description: syslogd followed symbolic links while changing permissions on files. This issue was addressed through improved handling of symbolic links.
CVE-ID
CVE-2014-4372 : Tielei Wang and YeongJin Jang of Georgia Tech Information Security Center (GTISC)
Apple TV
Disponible para: Apple TV 3.ª generación y versiones posteriores
Impacto: un atacante con una posición de red privilegiada podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: había varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.
CVE-ID
CVE-2013-6663: Atte Kettunen de OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel de Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.