Acerca del contenido de seguridad del Apple TV 6.1
En este documento se describe el contenido de seguridad del Apple TV 6.1.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Apple TV 6.1
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: un atacante con acceso a un Apple TV podía acceder a información confidencial del usuario a partir de los registros
Descripción: se registraba información confidencial del usuario. Este problema se ha solucionado reduciendo la cantidad de información registrada.
ID CVE
CVE-2014-1279: David Schuetz, en colaboración con Intrepidus Group
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: no se cumplían las fechas de caducidad del perfil
Descripción: las fechas de caducidad de los perfiles de configuración móviles no se evaluaban correctamente. Este problema se ha solucionado mediante la mejora de la gestión de los perfiles de configuración.
ID CVE
CVE-2014-1267
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: una aplicación malintencionada podía provocar la finalización inesperada del sistema
Descripción: existía un problema de aserción asequible en la gestión de llamadas API de IOKit por parte de CoreCapture. Este problema se ha solucionado mediante la validación adicional de la entrada de IOKit.
ID CVE
CVE-2014-1271: Filippo Bigarella
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: un usuario local podía modificar los permisos de archivos aleatorios
Descripción: CrashHouseKeeping seguía enlaces simbólicos mientras cambiaba los permisos de los archivos. Este problema se ha solucionado no siguiendo enlaces simbólicos al cambiar los permisos de los archivos.
ID CVE
CVE-2014-1272: evad3rs
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: los requisitos de firma de código podían ignorarse
Descripción: puede que dyld cargue las instrucciones de reubicación de texto de las bibliotecas dinámicas sin validación de la firma de código. Este problema se ha solucionado ignorando las instrucciones de reubicación de texto.
ID CVE
CVE-2014-1273: evad3rs
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: visualizar un archivo PDF creado con fines malintencionados podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de desbordamiento de búfer en la gestión de imágenes JPEG2000 de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-1275: Felix Groebert, del Google Security Team
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: visualizar un archivo TIFF creado con fines malintencionados podía provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento de búfer en la gestión de imágenes TIFF por parte de libtiff. Este problema se ha solucionado mediante una validación adicional de las imágenes TIFF.
ID CVE
CVE-2012-2088
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: ver un archivo JPEG creado con fines malintencionados podía provocar la revelación de contenido de la memoria
Descripción: existía un problema de acceso a la memoria no inicializada en la gestión de libjpeg de marcadores JPEG, lo cual revelaba el contenido de la memoria. Este problema se ha solucionado mediante la validación adicional de los archivos JPEG.
ID CVE
CVE-2013-6629: Michal Zalewski
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: un usuario local podía provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel
Descripción: existía un problema de acceso a memoria fuera de los límites en la función ARM ptmx_get_ioctl. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-1278: evad3rs
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: un perfil de configuración podía ser invisible para los usuarios
Descripción: se podía cargar un perfil de configuración con un nombre largo en el dispositivo, pero no se mostraba en la interfaz de usuario del perfil. El problema se ha solucionado mejorando la gestión de nombres del perfil.
ID CVE
CVE-2014-1282: Assaf Hefetz, Yair Amit y Adi Sharabani de Skycure
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: una persona con acceso físico al dispositivo podía provocar la ejecución de código arbitrario en el modo de kernel
Descripción: existía un problema de corrupción de memoria en la gestión de mensajes USB. Este problema se ha solucionado mediante la validación adicional de mensajes USB.
ID CVE
CVE-2014-1287: Andy Davis de NCC Group
WebKit
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: visitar un sitio web creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2013-2909: Atte Kettunen de OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome Security Team
CVE-2013-5196: Google Chrome Security Team
CVE-2013-5197: Google Chrome Security Team
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome Security Team
CVE-2013-5228: Keen Team (@K33nTeam), colaboradores de la Zero Day Initiative de HP
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault), colaborador de la Zero Day Initiative de HP, Google Chrome Security Team
CVE-2014-1291: Google Chrome Security Team
CVE-2014-1292: Google Chrome Security Team
CVE-2014-1293: Google Chrome Security Team
CVE-2014-1294: Google Chrome Security Team
Apple TV
Disponible para: Apple TV (2.ª generación y posteriores)
Impacto: la reproducción de un vídeo creado con fines malintencionados podía provocar que el dispositivo dejara de responder
Descripción: existía un problema de falta de referencia nula en la gestión de archivos codificados MPEG-4. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2014-1280: rg0rd
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.