Acerca del contenido de seguridad de tvOS 14.7

En este documento se describe el contenido de seguridad de tvOS 14.7.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 14.7

Presentado el 19 de julio de 2021

Analytics

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un atacante local podría acceder a los datos analíticos.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Entrada añadida el 25 de mayo de 2022

App Store

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación maliciosa podría sortear ciertas preferencias de privacidad.

Descripción: se ha solucionado un problema de permisos mediante la mejora de la validación.

CVE-2021-31006: Csaba Fitzl (@theevilbit) de Offensive Security

Entrada añadida el 25 de mayo de 2022

Audio

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un atacante local podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2021-30781: tr3e

AVEVideoEncoder

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2021-30748: George Nosenko

Entrada añadida el 19 de enero de 2022

CoreAudio

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2021-30775: JunDong Xie de Ant Security Light-Year Lab

CoreAudio

Disponible para: Apple TV 4K y Apple TV HD

Impacto: reproducir un archivo de audio con fines malintencionados podría provocar una interrupción inesperada de la aplicación.

Descripción: se ha solucionado un problema de lógica mejorando la validación.

CVE-2021-30776: JunDong Xie de Ant Security Light-Year Lab

CoreText

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2021-30789: Mickey Jin (@patch1t) de Trend Micro, Sunglin del equipo Knownsec 404

Crash Reporter

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación creada con fines malintencionados podría ser capaz de obtener privilegios de raíz

Descripción: se ha solucionado un problema de lógica mejorando la validación.

CVE-2021-30774: Yizhuo Wang de Group de Software Security In Progress (G.O.S.S.I.P) en Shanghai Jiao Tong University

CVMS

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación creada con fines malintencionados podría ser capaz de obtener privilegios de raíz

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2021-30780: Tim Michaud(@TimGMichaud) de Zoom Video Communications

dyld

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida

Descripción: se ha solucionado un problema de lógica mejorando la validación.

CVE-2021-30768: Linus Henze (pinauten.de)

FontParser

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.

CVE-2021-30760: Sunglin del equipo Knownsec 404

FontParser

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de un archivo tiff creado con fines malintencionados podría generar una denegación de servicio o una posible revelación del contenido de la memoria.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2021-30788: tr3e en colaboración con Zero Day Initiative de Trend Micro

FontParser

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un desbordamiento de pila mejorando la validación de entrada.

CVE-2021-30759: hjy79425575 en colaboración con Zero Day Initiative de Trend Micro

Identity Service

Disponible para: Apple TV 4K y Apple TV HD

Impacto: Una aplicación creada con fines malintencionados podría ser capaz de omitir las comprobaciones de firma de código

Descripción: se ha solucionado un problema en la validación de las firmas de código con una mejora de las comprobaciones.

CVE-2021-30773: Linus Henze (pinauten.de)

Image Processing

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2021-30802: Matthew Denton de Google Chrome Security

ImageIO

Disponible para: Apple TV 4K y Apple TV HD

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2021-30779: Jzhu, Ye Zhang(@co0py_Cat) de Baidu Security

ImageIO

Disponible para: Apple TV 4K y Apple TV HD

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2021-30785: CFF de Topsec Alpha Team, Mickey Jin (@patch1t) de Trend Micro

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un atacante malintencionado que tenga funciones arbitrarias de lectura y escritura podría ser capaz de omitir la autenticación de puntero.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2021-30769: Linus Henze (pinauten.de)

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un atacante que haya conseguido ejecutar el código de kernel podría ser capaz de omitir las soluciones de la memoria del kernel.

Descripción: se ha solucionado un problema de lógica mejorando la validación.

CVE-2021-30770: Linus Henze (pinauten.de)

libxml2

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2021-3518

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.

CVE-2021-30758: Christoph Guttandin de Media Codings

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2021-30795: Sergei Glazunov de Google Project Zero

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: procesar contenido web creado con fines malintencionados podría provocar la ejecución de código.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2021-30797: Ivan Fratric de Google Project Zero

Otros agradecimientos

Assets

Queremos dar las gracias a Cees Elzinga por su ayuda.

CoreText

Queremos dar las gracias a Mickey Jin (@patch1t) de Trend Micro por su ayuda.

Power Management

Queremos dar las gracias a Pan ZhenPeng (@Peterpan0927) de Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) y Lisandro Ubiedo (@_lubiedo) de Stratosphere Lab por su ayuda.

Entrada añadida el 7 de junio de 2023

Safari

Queremos dar las gracias a un investigador anónimo por su ayuda.

Sandbox

Queremos dar las gracias por su ayuda a Csaba Fitzl (@theevilbit) de Offensive Security.

sysdiagnose

Nos gustaría dar las gracias a Carter Jones (linkedin.com/in/carterjones/) y a Tim Michaud (@TimGMichaud) de Zoom Video Communications por su ayuda.

Entrada añadida el 25 de mayo de 2022

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 31 de octubre de 2023

¿Te ha resultado útil?