Acerca del contenido de seguridad de tvOS 14.2
Este documento describe el contenido de seguridad de tvOS 14.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
tvOS 14.2
Audio
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27910: JunDong Xie y XingWei Lin de Ant Security Light-Year Lab
Audio
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27916: JunDong Xie de Ant Security Light-Year Lab
CoreAudio
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-10017: Francis en colaboración con Zero Day Initiative de Trend Micro y JunDong Xie de Ant Security Light-Year Lab
CoreAudio
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27908: anónimo en colaboración con Zero Day Initiative de Trend Micro, y JunDong Xie y XingWei Lin de Ant Security Light-Year Lab
CVE-2020-27909: anónimo en colaboración con Zero Day Initiative de Trend Micro, y JunDong Xie y XingWei Lin de Ant Security Light-Year Lab
CoreText
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-27922: Mickey Jin de Trend Micro
Crash Reporter
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2020-10003: Tim Michaud (@TimGMichaud) de Leviathan
FontParser
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-27927: Xingwei Lin de Ant Security Light-Year Lab
Foundation
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un usuario local podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-10002: James Hutchins
ImageIO
Disponible para: Apple TV 4K y Apple TV HD
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27924: Lei Sun
ImageIO
Disponible para: Apple TV 4K y Apple TV HD
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27912: Xingwei Lin de Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
IOAcceleratorFamily
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-10016: Alex Helie
libxml2
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27917: detectado por OSS-Fuzz
CVE-2020-27920: detectado por OSS-Fuzz
libxml2
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-27911: detectado por OSS-Fuzz
Registro
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2020-10010: Tommy Muir (@Muirey03)
Model I/O
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-10011: Aleksandar Nikolic de Cisco Talos
Model I/O
Disponible para: Apple TV 4K y Apple TV HD
Impacto: abrir un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-10004: Aleksandar Nikolic de Cisco Talos
Estructura de síntomas
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27899: 08Tc3wBB en colaboración con ZecOps
WebKit
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27918: Liu Long de Ant Security Light-Year Lab
XNU
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se han solucionado varios problemas mejorando la lógica.
CVE-2020-27935: Lior Halphon (@LIJI32)
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.