Acerca del contenido de seguridad de tvOS 10

En este documento, se describe el contenido de seguridad de tvOS 10.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información acerca de la seguridad, consulta el sitio web Seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

tvOS 10

Fecha de lanzamiento: 13 de septiembre de 2016

Audio

Disponible para Apple TV (cuarta generación)

Impacto: Un atacante remoto podía ejecutar código arbitrario.

Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park y Taekyoung Kwon del Laboratorio de Seguridad Informática de la Universidad Yonsei.

Entrada agregada el 20 de septiembre de 2016

CFNetwork

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía comprometer información del usuario.

Descripción: Existía un problema de validación de entradas en el análisis del encabezado set-cookie. Este problema se solucionó mejorando la comprobación de validez.

CVE-2016-4708: Dawid Czagan de Silesia Security Lab

Entrada agregada el 20 de septiembre de 2016

CoreCrypto

Disponible para Apple TV (cuarta generación)

Impacto: Una aplicación podía ejecutar código arbitrario.

Descripción: Se solucionó un problema de escritura fuera de límites eliminando el código vulnerable.

CVE-2016-4712: Gergo Koteles

Entrada agregada el 20 de septiembre de 2016

FontParser

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de una fuente creada con fines malintencionados podía provocar la divulgación de la memoria de procesos.

Descripción: Existía un desbordamiento en el búfer en el procesamiento de los archivos de fuentes. Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2016-4718: Apple

Entrada agregada el 20 de septiembre de 2016

IOAcceleratorFamily

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la divulgación de la memoria de procesos.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2016-4725: Rodger Combs de Plex, Inc.

Entrada agregada el 20 de septiembre de 2016

IOAcceleratorFamily

Disponible para Apple TV (cuarta generación)

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.

CVE-2016-4726: Un investigador anónimo

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para Apple TV (cuarta generación)

Impacto: Un atacante remoto podía provocar una denegación de servicio.

Descripción: Se solucionó un problema de manejo de bloqueos mejorando su manejo.

CVE-2016-4772: Marc Heuse de mh-sec

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para Apple TV (cuarta generación)

Impacto: Una aplicación podía determinar la distribución de la memoria del kernel.

Descripción: Existían varios problemas de lectura fuera de los límites que ocasionaron la divulgación de contenido de la memoria del kernel. Para solucionar estos problemas, se mejoró la validación de entradas.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para Apple TV (cuarta generación)

Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.

CVE-2016-4775: Brandon Azad

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para Apple TV (cuarta generación)

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de una referencia de puntero que no era de confianza eliminando el código afectado.

CVE-2016-4777: Lufeng Li de Qihoo 360 Vulcan Team

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para Apple TV (cuarta generación)

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4778: CESG

Entrada agregada el 20 de septiembre de 2016

libxml2

Disponible para Apple TV (cuarta generación)

Descripción: Existían varios problemas en libxml2. El más significativo de ellos podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Entrada agregada el 20 de septiembre de 2016

libxslt

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.

CVE-2016-4738: Nick Wellnhofer

Entrada agregada el 20 de septiembre de 2016

Seguridad

Disponible para Apple TV (cuarta generación)

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Existía un problema de validación en las imágenes de disco firmadas. Para solucionar este problema, se mejoró la validación del tamaño.

CVE-2016-4753: Mark Mentovai de Google Inc.

Entrada agregada el 20 de septiembre de 2016

WebKit

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un problema de análisis en la administración de prototipos de errores. Para solucionar este problema, se mejoró la validación.

CVE-2016-4728: Daniel Divricean

Entrada agregada el 20 de septiembre de 2016

WebKit

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: Natalie Silvanovich de Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo de Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Anónimo en colaboración con la iniciativa Zero Day de Trend Micro

Entrada agregada el 20 de septiembre de 2016

WebKit

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la administración de estado.

CVE-2016-4733: Natalie Silvanovich de Google Project Zero

CVE-2016-4765: Apple

Entrada agregada el 20 de septiembre de 2016

WebKit

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la administración de estado.

CVE-2016-4764: Apple

Entrada agregada el 3 de noviembre de 2016

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: