Acerca del contenido de seguridad del Apple TV 7.2.1

En este documento, se describe el contenido de seguridad del Apple TV 7.2.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Apple TV 7.2.1

  • bootp

    Disponible para Apple TV (tercera generación)

    Impacto: Una red Wi-Fi malintencionada podría ser capaz de determinar las redes a las que ha accedido previamente un dispositivo

    Descripción: Al conectarse a una red Wi-Fi, iOS podía transmitir direcciones MAC de redes a las que se había accedido previamente mediante el protocolo DNAv4. Para solucionar este problema, se desactivó DNAv4 en las redes Wi-Fi no encriptadas.

    ID CVE

    CVE-2015-3778: Piers O'Hanlon de Oxford Internet Institute, Universidad de Oxford (en el proyecto EPSRC Being There)

  • CloudKit

    Disponible para Apple TV (tercera generación)

    Impacto: Una aplicación malintencionada podría ser capaz de acceder al registro en iCloud de un usuario conectado anteriormente

    Descripción: Existía una incoherencia de estado en CloudKit al cerrar la sesión de los usuarios. Para solucionar este problema, se mejoró el manejo de los estados.

    ID CVE

    CVE-2015-3782: Deepkanwal Plaha de la Universidad de Toronto

  • CFPreferences

    Disponible para Apple TV (tercera generación)

    Impacto: Una app malintencionada podría leer las preferencias administradas de otras apps

    Descripción: Existía un problema en la zona restringida para apps de fabricantes de terceros. Para solucionar el problema, se mejoró el perfil de zona restringida para fabricantes de terceros.

    ID CVE

    CVE-2015-3793: Andreas Weinlein del Appthority Mobility Threat Team

  • Firma del código

    Disponible para Apple TV (tercera generación)

    Impacto: Una aplicación malintencionada podría ejecutar código sin firma

    Descripción: Existía un problema por el cual se podía agregar código sin firma a un código con firma en un archivo ejecutable diseñado especialmente. Para solucionar este problema, se mejoró la validación de firmas de código.

    ID CVE

    CVE-2015-3806: TaiG Jailbreak Team

  • Firma del código

    Disponible para Apple TV (tercera generación)

    Impacto: Un archivo ejecutable diseñado especialmente podía permitir la ejecución de código malintencionado sin firma

    Descripción: Existía un problema en la forma en que se evaluaban los archivos ejecutables con varias arquitecturas. Esto podía permitir la ejecución de código sin firma. Para solucionar este problema, se mejoró la validación de archivos ejecutables.

    ID CVE

    CVE-2015-3803: TaiG Jailbreak Team

  • Firma del código

    Disponible para Apple TV (tercera generación)

    Impacto: Un usuario local podría ser capaz de ejecutar código sin firma

    Descripción: Existía un problema de validación en el manejo de archivos Mach-O. Para solucionar este problema, se agregaron más comprobaciones.

    ID CVE

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • CoreMedia Playback

    Disponible para Apple TV (tercera generación)

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de errores de memoria en CoreMedia Playback. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponible para Apple TV (tercera generación)

    Impacto: El procesamiento de un archivo de tipos de letra creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de errores de memoria en el procesamiento de archivos de tipos de letra. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team 

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Disponible para Apple TV (tercera generación)

    Impacto: El procesamiento de un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en el análisis de imágenes DMG con estructura incorrecta. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3800: Frank Graziano de Yahoo Pentest Team

  • FontParser

    Disponible para Apple TV (tercera generación)

    Impacto: El procesamiento de un archivo de tipos de letra creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de errores de memoria en el procesamiento de archivos de tipos de letra. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Disponible para Apple TV (tercera generación)

    Impacto: El procesamiento de un archivo .tiff creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos .tiff. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponible para Apple TV (tercera generación)

    Impacto: El análisis de contenido web creado con fines malintencionados puede provocar la divulgación de la memoria de procesos

    Descripción: Existía un problema de acceso a la memoria no inicializada en el manejo de ImageIO de imágenes PNG. Para solucionar este problema, se mejoró la inicialización de la memoria y se proporcionó validación adicional de imágenes PNG.

    ID CVE

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Disponible para Apple TV (tercera generación)

    Impacto: El análisis de contenido web creado con fines malintencionados puede provocar la divulgación de la memoria de procesos

    Descripción: Existía un problema de acceso a la memoria no inicializada en el manejo de ImageIO de imágenes TIFF. Para solucionar este problema, se mejoró la inicialización de la memoria y se proporcionó validación adicional de imágenes TIFF.

    ID CVE

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Disponible para Apple TV (tercera generación)

    Impacto: El análisis de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios del sistema

    Descripción: Existían daños en la memoria en el procesamiento de archivos plist con estructura incorrecta. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3776: Teddy Reed de Facebook Security, Patrick Stein (@jollyjinx) de Jinx Germany

  • IOHIDFamily

    Disponible para Apple TV (tercera generación)

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento del búfer en IOHIDFamily. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Disponible para Apple TV (tercera generación)

    Impacto: Una aplicación malintencionada podría determinar el diseño de memoria del kernel

    Descripción: Existía un problema en la interfaz mach_port_space_info, que podría haber provocado la divulgación de la distribución de la memoria del kernel. Para solucionar este problema, se desactivó la interfaz mach_port_space_info.

    ID CVE

    CVE-2015-3766: Cererdlong de Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Disponible para Apple TV (tercera generación)

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento de números enteros en el manejo de funciones IOKit. Para solucionar este problema, se mejoró la validación de los argumentos de la API IOKit.

    ID CVE

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    Disponible para Apple TV (tercera generación)

    Impacto: El procesamiento de una expresión regular creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en la biblioteca TRE. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3796: Ian Beer de Google Project Zero

    CVE-2015-3797: Ian Beer de Google Project Zero

    CVE-2015-3798: Ian Beer de Google Project Zero

  • Libinfo

    Disponible para Apple TV (tercera generación)

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el manejo de sockets AF_INET6. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponible para Apple TV (tercera generación)

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en el manejo de las llamadas del sistema. Para solucionar este problema, se mejoró la comprobación del estado de bloqueo.

    ID CVE

    CVE-2015-5757: Lufeng Li de Qihoo 360

  • libxml2

    Disponible para Apple TV (tercera generación)

    Impacto: El análisis de un documento XML creado con fines malintencionados podría provocar la divulgación de información del usuario

    Descripción: Existía un problema de daños en la memoria en el análisis de archivos XML. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Disponible para Apple TV (tercera generación)

    Impacto: Existían varias vulnerabilidades en las versiones de libxml2 anteriores a 2.9.2, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio

    Descripción: Existían varias vulnerabilidades en las versiones de libxml2 anteriores a 2.9.2. Se solucionaron mediante la actualización de libxml2 a la versión 2.9.2.

    ID CVE

    CVE-2012-6685: Felix Groebert de Google

    CVE-2014-0191: Felix Groebert de Google

    CVE-2014-3660: Felix Groebert de Google

  • libxpc

    Disponible para Apple TV (tercera generación)

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en el manejo de mensajes XPC con estructura incorrecta. Este problema se mejoró al optimizar la comprobación de límites.

    ID CVE

    CVE-2015-3795: Mathew Rowley

  • libxslt

    Disponible para Apple TV (cuarta generación)

    Impacto: El procesamiento de un archivo XML creado con fines malintencionados podría ocasionar la ejecución de código arbitrario

    Descripción: Existía un problema de confusión de tipo en libxslt. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7995: puzzor

  • Estructura de localización

    Disponible para Apple TV (tercera generación)

    Impacto: Un usuario local podría modificar partes protegidas del sistema de archivos

    Descripción: Se solucionó un problema de enlace simbólico mejorando la validación de ruta.

    ID CVE

    CVE-2015-3759: Cererdlong de Alibaba Mobile Security Team

  • Visor de Office

    Disponible para Apple TV (tercera generación)

    Impacto: El análisis de un archivo XML creado con fines malintencionados podría provocar la divulgación de información del usuario

    Descripción: Existía un problema de referencia a una entidad externa en el análisis de archivos XML. Para solucionar este problema, se mejoró el análisis.

    ID CVE

    CVE-2015-3784: Bruno Morisson de INTEGRITY S.A. 

  • QL Office

    Disponible para Apple TV (tercera generación)

    Impacto: El análisis de un documento de Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el análisis de documentos de Office. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5773: Apple

  • Sandbox_profiles

    Disponible para Apple TV (tercera generación)

    Impacto: Una app malintencionada podría leer las preferencias administradas de otras apps

    Descripción: Existía un problema en la zona restringida para apps de fabricantes de terceros. Para solucionar el problema, se mejoró el perfil de zona restringida para fabricantes de terceros.

    ID CVE

    CVE-2015-5749: Andreas Weinlein de Appthority Mobility Threat Team

  • WebKit

    Disponible para Apple TV (tercera generación)

    Impacto: El procesamiento de contenido web creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de errores de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Disponible para Apple TV (tercera generación)

    Impacto: El contenido web creado con fines malintencionados podría exfiltrar datos de las imágenes de origen cruzado

    Descripción: Las imágenes obtenidas a través de URL que redirigían a un recurso data:image podían tener un origen cruzado exfiltrado. Para solucionar el problema, se mejoró el seguimiento de marcación del lienzo.

    ID CVE

    CVE-2015-3753: Antonio Sanso y Damien Antipa de Adobe

  • WebKit

    Disponible para Apple TV (tercera generación)

    Impacto: El contenido web creado con files malintencionados podría activar el envío de solicitudes con texto sin formato a un origen mediante la seguridad de transporte HTTP estricta

    Descripción: Existía un problema en el que las solicitudes de informe de Política de seguridad del contenido (CSP) no respetaban la seguridad de transporte HTTP estricta (HSTS). Para solucionar el problema, se aplicó HSTS a CSP.

    ID CVE

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponible para Apple TV (tercera generación)

    Impacto: Las solicitudes de informe de Política de seguridad del contenido podrían dejar entrar cookies

    Descripción: Existían dos problemas respecto de cómo se agregaban las cookies a las solicitudes de informe de Política de seguridad del contenido. Se enviaban cookies en las solicitudes de informe de orígenes cruzados, en infracción con el estándar. Las cookies configuradas durante la navegación normal se enviaban en la navegación privada. Para solucionar estos problemas, se mejoró el manejo de las cookies.

    ID CVE

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponible para Apple TV (tercera generación)

    Impacto: La carga de imágenes puede infringir las directivas de la Política de seguridad del contenido de un sitio web

    Descripción: Existía un problema debido al cual el procesamiento de contenido web con controles de video cargaba imágenes anidadas en elementos de objeto, lo que infringía la directiva de la Política de seguridad del contenido del sitio web. Para solucionar el problema, se mejoró la aplicación de la Política de seguridad del contenido.

    ID CVE

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: