Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para obtener más información acerca de la seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
tvOS 10.1
Publicado el 12 de diciembre de 2016
Audio
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7658: Haohao Kong de Keen Lab (@keen_lab) de Tencent
CVE-2016-7659: Haohao Kong de Keen Lab (@keen_lab) de Tencent
Entrada agregada el 13 de diciembre de 2016
CoreFoundation
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de cadenas creadas con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el procesamiento de cadenas. Este problema se solucionó mejorando la comprobación de los límites.
CVE-2016-7663: Un investigador anónimo
Entrada agregada el 13 de diciembre de 2016
CoreGraphics
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía provocar el cierre inesperado de la aplicación.
Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación de entradas.
CVE-2016-7627: TRAPMINE Inc. y Meysam Firouzi @R00tkitSMM
Entrada agregada el 13 de diciembre de 2016
Pantallas externas CoreMedia
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación local podía ejecutar código arbitrario en el contexto del demonio mediaserver.
Descripción: Se solucionó un problema de confusión de tipo mejorando el manejo de la memoria.
CVE-2016-7655: Keen Lab en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 13 de diciembre de 2016
CoreMedia Playback
Disponible para Apple TV (cuarta generación)
Impacto: Procesar un archivo .mp4 creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2016-7588: dragonltx de Laboratories de Huawei 2012
Entrada agregada el 13 de diciembre de 2016
CoreText
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existían varios problemas de daños en la memoria en el manejo de archivos de tipo de letra. Estos problemas se solucionaron mejorando la comprobación de límites.
CVE-2016-7595: riusksk(泉哥) de Tencent Security Platform Department
Entrada agregada el 13 de diciembre de 2016
CoreText
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de una cadena creada con fines malintencionados podía ocasionar una denegación de servicio.
Descripción: Un problema que se producía al generar rangos superpuestos se solucionó mejorando la validación.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) de Digital Unit (dgunit.com)
Entrada agregada el 15 de diciembre de 2016
Imágenes de disco
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7616: daybreaker@Minionz en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 13 de diciembre de 2016
FontParser
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existían varios problemas de daños en la memoria en el manejo de archivos de tipo de letra. Estos problemas se solucionaron mejorando la comprobación de límites.
CVE-2016-4691: riusksk(泉哥) de Tencent Security Platform Department
Entrada agregada el 13 de diciembre de 2016
ICU
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2016-7594: André Bargull
Entrada agregada el 13 de diciembre de 2016
ImageIO
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante remoto podía producir una fuga de memoria.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2016-7643: Yangkang (@dnpushme) de Qihoo360 Qex Team
Entrada agregada el 13 de diciembre de 2016
IOHIDFamily
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación local con privilegios del sistema podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.
CVE-2016-7591: daybreaker de Minionz
Entrada agregada el 13 de diciembre de 2016
IOKit
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podía leer la memoria del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7657: Keen Lab en colaboración con la iniciativa Zero Day de Trend Micro.
Entrada agregada el 13 de diciembre de 2016
IOKit
Disponible para Apple TV (cuarta generación)
Impacto: Un usuario local podía determinar el diseño de memoria del kernel.
Descripción: Un problema en la memoria compartida se solucionó mejorando el manejo de la memoria.
CVE-2016-7714: Qidan He (@flanker_hqd) de KeenLab en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 25 de enero de 2017
JavaScriptCore
Disponible para Apple TV (cuarta generación)
Impacto: Un script que se ejecutaba en una zona protegida de JavaScript podía acceder a un estado fuera de esa zona protegida.
Descripción: Existía un problema de validación en el procesamiento de JavaScript. Este problema se solucionó mejorando la validación.
CVE-2016-4695: Mark S. Miller de Google
Entrada agregada el 16 de agosto de 2017
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Varios problemas de daños en la memoria se solucionaron mejorando la validación de entradas.
CVE-2016-7606: @cocoahuke, Chen Qin de Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer de Google Project Zero
Entrada agregada el 13 de diciembre de 2016
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podía leer la memoria del kernel.
Descripción: Se solucionó un problema de inicialización insuficiente inicializando correctamente la memoria devuelta al espacio del usuario.
CVE-2016-7607: Brandon Azad
Entrada agregada el 13 de diciembre de 2016
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Un usuario local podía provocar una denegación de servicio del sistema.
Descripción: Se solucionó un problema de denegación del servicio mejorando el manejo de la memoria.
CVE-2016-7615: National Cyber Security Centre (NCSC) del Reino Unido
Entrada agregada el 13 de diciembre de 2016
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Un usuario local podía provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel.
Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.
CVE-2016-7621: Ian Beer de Google Project Zero
Entrada agregada el 13 de diciembre de 2016
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Un usuario local podía obtener privilegios de usuario raíz.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7637: Ian Beer de Google Project Zero
Entrada agregada el 13 de diciembre de 2016
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de denegación del servicio mejorando el manejo de la memoria.
CVE-2016-7647: Lufeng Li de Qihoo 360 Vulcan Team
Entrada agregada el 17 de mayo de 2017
libarchive
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante local podía sobrescribir archivos existentes.
Descripción: Existía un problema de validación en el manejo de enlaces simbólicos. Este problema se solucionó mejorando la validación de enlaces simbólicos.
CVE-2016-7619: Un investigador anónimo
Entrada agregada el 13 de diciembre de 2016
Administración de la alimentación
Disponible para Apple TV (cuarta generación)
Impacto: Un usuario local podía obtener privilegios de usuario raíz.
Descripción: Se solucionó un problema en las referencias de puertos Mach mejorando la validación.
CVE-2016-7661: Ian Beer de Google Project Zero
Entrada agregada el 13 de diciembre de 2016
Perfiles
Disponible para Apple TV (cuarta generación)
Impacto: Abrir un certificado creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el manejo de perfiles de certificados. Este problema se solucionó mejorando la validación de entradas.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Seguridad
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante podía explotar las debilidades en el algoritmo criptográfico 3DES.
Descripción: Se quitó 3DES como cifrado predeterminado.
CVE-2016-4693: Gaëtan Leurent y Karthikeyan Bhargavan de INRIA París
Entrada agregada el 13 de diciembre de 2016
Seguridad
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante con una posición de red privilegiada podía provocar una denegación de servicio.
Descripción: Existía un problema de validación en el manejo de las URL del respondedor OCSP. Este problema se solucionó verificando la revocación del estado de OCSP posterior a la validación de CA y limitando la cantidad de solicitudes OCSP por certificado.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Entrada agregada el 13 de diciembre de 2016
Seguridad
Disponible para Apple TV (cuarta generación)
Impacto: Los certificados se podían evaluar como confiables inesperadamente.
Descripción: Existía un problema de evaluación de certificados en la validación de certificados. Este problema se solucionó mediante una validación adicional de certificados.
CVE-2016-7662: Apple
Entrada agregada el 13 de diciembre de 2016
syslog
Disponible para Apple TV (cuarta generación)
Impacto: Un usuario local podía obtener privilegios de usuario raíz.
Descripción: Se solucionó un problema en las referencias de puertos Mach mejorando la validación.
CVE-2016-7660: Ian Beer de Google Project Zero
Entrada agregada el 13 de diciembre de 2016
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
Entrada agregada el 13 de diciembre de 2016
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la divulgación de la memoria de un proceso.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-4743: Alan Cutter
Entrada agregada el 13 de diciembre de 2016
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la divulgación de la información del usuario.
Descripción: Se solucionó un problema de validación mejorando la administración de estado.
CVE-2016-7586: Boris Zbarsky
Entrada agregada el 13 de diciembre de 2016
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la administración de estado.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang de Baidu Security Lab en colaboración con la iniciativa Zero Day de Trend Micro
CVE-2016-7611: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro
CVE-2016-7639: Tongbo Luo de Palo Alto Networks
CVE-2016-7640: Kai Kang de Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7641: Kai Kang de Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7642: Tongbo Luo de Palo Alto Networks
CVE-2016-7645: Kai Kang de Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7646: Kai Kang de Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7648: Kai Kang de Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7649: Kai Kang de Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7654: Keen Lab en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 13 de diciembre de 2016
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la administración de estado.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 13 de diciembre de 2016
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la divulgación de la memoria de un proceso.
Descripción: Se solucionó un problema de acceso a la memoria no inicializado mejorando la inicialización de la memoria.
CVE-2016-7598: Samuel Groß
Entrada agregada el 13 de diciembre de 2016
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la divulgación de la información del usuario.
Descripción: Existía un problema en el manejo de los redireccionamientos HTTP. Este problema se solucionó mejorando la validación entre orígenes.
CVE-2016-7599: Muneaki Nishimura (nishimunea) de Recruit Technologies Co., Ltd.
Entrada agregada el 13 de diciembre de 2016
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la administración de estado.
CVE-2016-7632: Jeonghoon Shin
Entrada agregada el 13 de diciembre de 2016