Acerca del contenido de seguridad de la actualización de software 4.4 para el Apple TV
Este documento describe el contenido de seguridad de la actualización de software 4.4 para el Apple TV.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple.
Actualización de software 4.4 para el Apple TV
Apple TV
Disponible para: Apple TV 4.0 a 4.3
Impacto: un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial.
Descripción: varias autoridades de certificación operadas por DigiNotar emitieron certificados fraudulentos. Este problema se ha solucionado retirando a DigiNotar de la lista de certificados raíz de confianza y de la lista de autoridades de certificación con validación extendida, y configurando los ajustes por omisión de confianza del sistema de manera que los certificados de DigiNotar, así como los de otras autoridades, no sean de confianza.
Apple TV
Disponible para: Apple TV 4.0 a 4.3
Impacto: debido a la mejora de los ataques, la compatibilidad con los certificados X.509 con hashes MD5 puede exponer a los usuarios a prácticas de suplantación y a la revelación de información
Descripción: iOS aceptaba los certificados firmados mediante el algoritmo de hash MD5. Dicho algoritmo adolece de debilidades criptográficas conocidas. Un estudio más exhaustivo o un problema de configuración de una autoridad de certificación podrían haber permitido la creación de certificados X.509 con valores controlados por un atacante y que el sistema considerara como de confianza. Un ataque así habría dejado los protocolos basados en X.509 expuestos a la suplantación, los ataques “man-in-the-middle” y la revelación de información. Esta actualización desactiva la compatibilidad con los certificados X.509 con hash MD5 para cualquier uso que no sea el de certificado raíz de confianza.
ID de CVE
CVE-2011-3427
Apple TV
Disponible para: Apple TV 4.0 a 4.3
Impacto: un atacante podría desencriptar parte de una conexión SSL.
Descripción: anteriormente, solo las versiones SSLv3 y TLS 1.0 de SSL eran compatibles. Dichas versiones están sujetas a una debilidad del protocolo cuando se utilizan cifrados de bloques. Un atacante “man-in-the-middle” podría haber inyectado datos no válidos y provocar tanto el cierre de la conexión como la revelación de parte de los datos anteriores. De intentarse repetidamente la misma conexión, el atacante podría haber sido capaz de terminar desencriptando los datos enviados, por ejemplo, una contraseña. Este problema se soluciona añadiendo compatibilidad con TLS 1.2.
ID de CVE
CVE-2011-3389
Apple TV
Disponible para: Apple TV 4.0 a 4.3
Impacto: la visualización de una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: existía un desbordamiento de búfer en la gestión de imágenes TIFF con codificación Grupo 4 de CCITT por parte de libTIFF.
ID de CVE
CVE-2011-0192: Apple
Apple TV
Disponible para: Apple TV 4.0 a 4.3
Impacto: la visualización de una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: existía un desbordamiento de búfer de montón en la gestión de imágenes TIFF con codificación Grupo 4 de CCITT por parte de ImageIO.
ID de CVE
CVE-2011-0241: Cyril CATTIAUX de Tessi Technologies
Apple TV
Disponible para: Apple TV 4.0 a 4.3
Impacto: un atacante remoto podría provocar un reinicio del dispositivo.
Descripción: el kernel no reclamaba rápidamente la memoria de las conexiones TCP incompletas. Un atacante con la capacidad de conectar con un servicio de escucha en un dispositivo iOS podía agotar los recursos del sistema.
ID de CVE
CVE-2011-3259: Wouter van der Veer de Topicus I&I y Josh Enders
Apple TV
Disponible para: Apple TV 4.0 a 4.3
Impacto: un atacante con una posición de red privilegiada podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: existía un desbordamiento de búfer de montón de un byte en el manejo de datos XML por parte de libxml.
ID de CVE
CVE-2011-0216: Billy Rios del Google Security Team
Apple TV
Disponible para: Apple TV 4.0 a 4.3
Impacto: un atacante con una posición de red privilegiada podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: había un problema de corrupción de la memoria en JavaScriptCore.
ID de CVE
CVE-2011-3232: Aki Helin de OUSPG
Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.