Sobre o conteúdo de segurança da Apple TV 7
Este documento descreve o conteúdo de segurança da Apple TV 7.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.
Apple TV 7
Apple TV
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte da Universiteit Hasselt
Impact: An attacker can obtain Wi-Fi credentials
Description: An attacker could have impersonated a Wi-Fi access point, offered to authenticate with LEAP, broken the MS-CHAPv1 hash, and used the derived credentials to authenticate to the intended access point even if that access point supported stronger authentication methods. This issue was addressed by removing support for LEAP.
CVE-ID
CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax, and Wim Lamotte of Universiteit Hasselt
Apple TV
CVE-2014-4357: Heli Myllykoski do OP-Pohjola Group
Impact: An attacker with access to an device may access sensitive user information from logs
Description: Sensitive user information was logged. This issue was addressed by logging less information.
CVE-ID
CVE-2014-4357 : Heli Myllykoski of OP-Pohjola Group
Apple TV
Disponível para: Apple TV (3ª geração) e posterior
Impacto: um invasor em uma posição de rede privilegiada poderia fazer um dispositivo acreditar estar atualizado, mesmo não estando
Descrição: havia um problema de validação no processamento das respostas de verificação da atualização. Datas falsas nos cabeçalhos de resposta de Última modificação definidos para datas futuras eram usadas para verificações de Modificado desde nas solicitações de atualizações subsequentes. O problema foi resolvido por meio da validação do cabeçalho de Última modificação.
CVE-ID
CVE-2014-4383: Raul Siles da DinoSec
Apple TV
CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners
Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or arbitrary code execution
Description: An integer overflow existed in the handling of PDF files. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2014-4377 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program
Apple TV
CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners
Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or an information disclosure
Description: An out of bounds memory read existed in the handling of PDF files. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2014-4378 : Felipe Andres Manzano of Binamuse VRT working with the iSIGHT Partners GVP Program
Apple TV
Disponível para: Apple TV 3ª geração e posterior Impacto: um aplicativo poderia causar o encerramento inesperado do sistema Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOAcceleratorFamily. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOAcceleratorFamily. CVE-ID CVE-2014-4369: Sarah, também conhecida como winocm, e Cererdlong da Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: o dispositivo poderia reiniciar inesperadamente
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no driver IntelAccelerator. O problema foi resolvido por meio de melhorias no processamento de erros.
CVE-ID
CVE-2014-4373: cunzhang da Adlab of Venustech
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um aplicativo malicioso pode ler ponteiros de kernel, que podiam ser usados para ignorar a randomização de layout do espaço de endereço de kernel
Descrição: havia um problema de leitura fora dos limites no processamento de uma função do IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4379: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de estouro de buffer de pilha no processamento de propriedades de mapeamento de chave do IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4404: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento das propriedades de mapeamento de chave no IOHIDFamily. O problema foi resolvido por meio de melhorias na validação das propriedades de mapeamento de chave do IOHIDFamily.
ID de CVE
CVE-2014-4405: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um aplicativo malicioso pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de gravação fora dos limites na extensão do kernel de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4380: cunzhang da Adlab of Venustech
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um aplicativo malicioso pode ler dados não inicializados da memória do kernel
Descrição: havia um problema de acesso à memória não inicializada durante o processamento das funções de IOKit. O problema foi resolvido por meio de melhorias na inicialização da memória
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um aplicativo malicioso pode ler dados não inicializados da memória do kernel
Descrição: havia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.
CVE-ID
CVE-2014-4418: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um aplicativo malicioso pode ler dados não inicializados da memória do kernel
Descrição: havia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de estouro de inteiros durante o processamento das funções de IOKit. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOKit.
ID de CVE
CVE-2014-4389: Ian Beer, do Google Project Zero
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um usuário local pode ser capaz de determinar o layout da memória do kernel
Descrição: havia vários problemas de memória não inicializada na interface de estatísticas de rede, o que levou à divulgação do conteúdo da memória do kernel. O problema foi resolvido por meio de uma inicialização adicional da memória.
ID de CVE
CVE-2014-4371: Fermin J. Serna da Equipe de Segurança do Google
CVE-2014-4419: Fermin J. Serna da Equipe de Segurança do Google
CVE-2014-4420: Fermin J. Serna da Equipe de Segurança do Google
CVE-2014-4421: Fermin J. Serna da Equipe de Segurança do Google
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: uma pessoa em uma posição de rede privilegiada poderia causar uma negação de serviço
Descrição: havia um problema de condição de corrida no processamento de pacotes IPv6. O problema foi resolvido por meio de melhorias na verificação de estado bloqueado.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um usuário local pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel
Descrição: havia um problema do tipo "double free" durante o processamento de portas de Mach. O problema foi resolvido por meio de melhorias na validação de portas de Mach.
CVE-ID
CVE-2014-4375
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um usuário local pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel
Descrição: havia um problema de leitura fora dos limites no rt_setgate. Isso podia levar à divulgação de memória ou ao corrompimento dela. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4408
Apple TV
CVE-2014-4422: Tarjei Mandt da Azimuth Security
Impact: Some kernel hardening measures may be bypassed
Description: The 'early' random number generator used in some kernel hardening measures was not cryptographically secure, and some of its output was exposed to user space, allowing bypass of the hardening measures. This issue was addressed by replacing the random number generator with a cryptographically secure algorithm, and using a 16-byte seed.
CVE-ID
CVE-2014-4422 : Tarjei Mandt of Azimuth Security
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: Um aplicativo malicioso pode ser capaz de executar código arbitrário com privilégios de sistema
Descrição: havia um problema de gravação fora dos limites no Libnotify. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2014-4381: Ian Beer do Google Project Zero
Apple TV
CVE-2014-4372: Tielei Wang e YeongJin Jang da Georgia Tech Information Security Center (GTISC)
Impact: A local user may be able to change permissions on arbitrary files
Description: syslogd followed symbolic links while changing permissions on files. This issue was addressed through improved handling of symbolic links.
CVE-ID
CVE-2014-4372 : Tielei Wang and YeongJin Jang of Georgia Tech Information Security Center (GTISC)
Apple TV
Disponível para: Apple TV 3ª geração e posterior
Impacto: um invasor em uma posição de rede privilegiada poderia causar a execução arbitrária de código ou o encerramento inesperado de aplicativos
Descrição: havia vários problemas de corrupção de memória no WebKit. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
CVE-ID
CVE-2013-6663: Atte Kettunen da OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel do Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.