Acerca del contenido de seguridad de Apple TV 7.0.3

En este documento, se describe el contenido de seguridad de Apple TV 7.0.3.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo usar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.

Apple TV 7.0.3

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Un comando afc malicioso podía permitir el acceso a partes protegidas del sistema de archivos.

    Descripción: Existía una vulnerabilidad en el mecanismo de enlace simbólico de afc. Se agregaron comprobaciones de ruta adicionales para solucionar este problema.

    ID CVE

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Abrir un archivo PDF creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de enteros en el manejo de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4481: Felipe Andres Manzano de Binamuse VRT, mediante el programa iSIGHT Partners GVP Program

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Un usuario local podía ser capaz de ejecutar código sin firmar.

    Descripción: Existía un problema de gestión de estados en el manejo de archivos ejecutables Mach-O con segmentos solapados. Este problema se resolvió mejorando la validación del tamaño de los segmentos.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Abrir un archivo PDF creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de búfer en el manejo de archivos de fuentes. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4483: Apple

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: El procesamiento de un archivo .dfont malicioso podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de corrupción de memoria en el manejo de archivos .dfont. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4484: Gaurav Baruah en colaboración con HP's Zero Day Initiative

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Visualizar un archivo XML creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de búfer en el analizador XML. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4485: Apple

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Una aplicación maliciosa podía ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de falta de referencia de puntero nulo en el manejo de listas de recursos por parte de IOAcceleratorFamily. Para solucionar este problema, se eliminó el código innecesario.

    ID CVE

    CVE-2014-4486: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Una aplicación maliciosa podía ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un desbordamiento de búfer en IOHIDFamily. Para solucionar este problema, se mejoró la validación del tamaño.

    ID CVE

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Una aplicación maliciosa podía ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación en el manejo de los metadatos de la cola de recursos por parte de IOHIDFamily. Este problema se solucionó mejorando la validación de metadatos.

    ID CVE

    CVE-2014-4488: Apple

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Una aplicación maliciosa podía ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de falta de referencia de puntero nulo en el manejo de las colas de eventos por parte de IOHIDFamily. Este problema se solucionó mejorando la validación.

    ID CVE

    CVE-2014-4489: @beist

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Las aplicaciones iOS maliciosamente diseñadas o comprometidas podían ser capaces de determinar direcciones en el kernel.

    Descripción: Existía un problema de divulgación de información en el manejo de las API relacionadas con las extensiones del kernel. Las respuestas que contenían una clave OSBundleMachOHeaders podían haber incluido direcciones de kernel, las cuales podían ayudar a omitir la protección por selección aleatoria del diseño de espacio de direcciones. Este problema se solucionó desligando las direcciones antes de devolverlas.

    ID CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Una aplicación maliciosa podía ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema en el subsistema de memoria compartida del kernel que le permitía a un atacante escribir en una memoria que debía ser de solo lectura. Este problema se solucionó con una comprobación más estricta de los permisos de memoria compartida.

    ID CVE

    CVE-2014-4495: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Las aplicaciones iOS maliciosamente diseñadas o comprometidas podían ser capaces de determinar direcciones en el kernel.

    Descripción: La interfaz del núcleo mach_port_kobject filtró las direcciones del núcleo y el valor de permutación de la memoria del montículo, lo que puede ayudar a eludir la protección contra la aleatorización de la disposición del espacio de direcciones. Se desactivó la interfaz mach_port_kobject en las configuraciones de producción para solucionar este problema.

    ID CVE

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Una aplicación maliciosa podía comprometer el daemon networkd.

    Descripción: Existían múltiples problemas de confusión de tipos en la gestión de la comunicación entre procesos por parte de networkd. Al enviar un mensaje con formato malicioso a networkd, era posible ejecutar código arbitrario como el proceso networkd. Este problema se soluciona mediante la comprobación adicional de los tipos.

    ID CVE

    CVE-2014-4492: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: Las hojas de estilo se cargaban con origen cruzado, lo que podía permitir la filtración de datos.

    Descripción: Un SVG cargado en un elemento img podía cargar un archivo CSS de origen cruzado. Se mejoró el bloqueo de referencias CSS externas en archivos SVG para solucionar este problema.

    ID CVE

    CVE-2014-4465: Rennie deGraaf de iSEC Partners

  • Apple TV

    Disponible para: Apple TV de tercera generación y modelos posteriores

    Impacto: La visita a un sitio web malicioso podía provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    Descripción: Existían múltiples problemas de corrupción de memoria en WebKit. Para solucionar estos problemas, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT en colaboración con el programa Zero Day Initiative de HP

    CVE-2014-4479: Apple

  • Apple TV

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (quinta generación) y modelos posteriores, iPad 2 y modelos posteriores.

    Impacto: Una aplicación maliciosa podía ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: La librería Kerberos libgssapi devolvía un token de contexto con un puntero colgante. Este problema se solucionó al mejorar la administración de estados.

    ID CVE

    CVE-2014-5352

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: