Acerca del contenido de seguridad del Apple TV 7.2.1

En este documento se describe el contenido de seguridad del Apple TV 7.2.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Apple TV 7.2.1

  • bootp

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una red Wi-Fi maliciosa podía ser capaz de determinar las redes a las que ha accedido un dispositivo previamente

    Descripción: Al conectarse a una red Wi-Fi, iOS podría transmitir las direcciones MAC de las redes a las que se ha accedido previamente por medio del protocolo DNAv4. Este problema se ha solucionado desactivando DNAv4 en las redes Wi-Fi no cifradas.

    ID CVE

    CVE-2015-3778: Piers O'Hanlon de Oxford Internet Institute, Universidad de Oxford (para el proyecto EPSRC Being There)

  • CloudKit

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de acceder al registro de usuarios de iCloud de un usuario que se ha conectado previamente

    Descripción: Había una inconsistencia de estado en CloudKit cuando los usuarios se desconectaban. Este problema se ha solucionado mejorando la gestión del estado.

    ID CVE

    CVE-2015-3782: Deepkanwal Plaha de la Universidad de Toronto

  • CFPreferences

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una app creada con fines malintencionados podría ser capaz de leer las preferencias gestionadas de otras apps

    Descripción: Había un problema en la zona protegida de apps de terceros. Este problema se ha solucionado mejorando el perfil de zona protegida para terceros.

    ID CVE

    CVE-2015-3793: Andreas Weinlein de Appthority Mobility Threat Team

  • Firma de código

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código sin firmar

    Descripción: Había un problema que permitía que el código no firmado se agregara al código firmado en un archivo ejecutable creado específicamente. Este problema se ha solucionado mejorando la validación de firma del código.

    ID CVE

    CVE-2015-3806: TaiG Jailbreak Team

  • Firma de código

    Disponible para: Apple TV (3.ª generación)

    Impacto: Un archivo ejecutable creado específicamente podría permitir que el código no firmado creado con fines malintencionados se ejecutase

    Descripción: Había un problema en la forma en que los archivos ejecutables multiarquitectura se evaluaban para permitir que el código no firmado se ejecutara. Este problema se ha solucionado mejorando la validación de los archivos ejecutables.

    ID CVE

    CVE-2015-3803: TaiG Jailbreak Team

  • Firma de código

    Disponible para: Apple TV (3.ª generación)

    Impacto: Un usuario local podría ser capaz de ejecutar código sin firma

    Descripción: Había un problema de validación en la gestión de los archivos Mach-O. Este problema se ha solucionado añadiendo comprobaciones adicionales.

    ID CVE

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • CoreMedia Playback

    Disponible para: Apple TV (3.ª generación)

    Impacto: Visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en CoreMedia Playback. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponible para: Apple TV (3.ª generación)

    Impacto: El procesamiento de archivos de tipos de letra creados con fines malintencionados provocaba el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Disponible para: Apple TV (3.ª generación)

    Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema

    Descripción: había un problema de corrupción de la memoria al analizar las imágenes DMG incorrectamente formadas. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3800: Frank Graziano de Yahoo Pentest Team

  • FontParser

    Disponible para: Apple TV (3.ª generación)

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Disponible para: Apple TV (3.ª generación)

    Impacto: El procesamiento de un archivo .tiff creado con fines malintencionados provocaba el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en el procesamiento de archivos .tiff. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponible para: Apple TV (3.ª generación)

    Impacto: El análisis de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

    Descripción: Había un problema de acceso a la memoria no inicializada en la gestión de las imágenes PNG que llevaba a cabo ImageIO. Este problema se ha solucionado mejorando la inicialización de la memoria y la validación adicional de las imágenes PNG.

    ID CVE

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Disponible para: Apple TV (3.ª generación)

    Impacto: El análisis de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

    Descripción: Había un problema de acceso a la memoria no inicializada en la gestión de las imágenes TIFF que hacía ImageIO. Este problema se ha solucionado mejorando la inicialización de la memoria y realizando una validación adicional de las imágenes TIFF.

    ID CVE

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Disponible para: Apple TV (3.ª generación)

    Impacto: Analizar un archivo plist creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos plist incorrectamente formados. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3776: Teddy Reed de Facebook Security y Patrick Stein (@jollyjinx) de Jinx Germany

  • IOHIDFamily

    Disponible para: Apple TV (3.ª generación)

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento del buffer en IOHIDFamily. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una aplicación maliciosa podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Había un problema en la interfaz mach_port_space_info que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado desactivando la interfaz mach_port_space_info.

    ID CVE

    CVE-2015-3766: Cererdlong de Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento de enteros en la gestión de las funciones IOKit. Este problema se ha solucionado mejorando la validación de los argumentos IOKit API.

    ID CVE

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    Disponible para: Apple TV (3.ª generación)

    Impacto: El procesamiento de una expresión regular creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en la biblioteca TRE. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3796: Ian Beer de Google Project Zero

    CVE-2015-3797: Ian Beer de Google Project Zero

    CVE-2015-3798: Ian Beer de Google Project Zero

  • Libinfo

    Disponible para: Apple TV (3.ª generación)

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en la gestión de los sockets AF_INET6. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en la gestión de las llamadas del sistema. Este problema se ha solucionado mejorando la comprobación del estado de bloqueo.

    ID CVE

    CVE-2015-5757: Lufeng Li de Qihoo 360

  • libxml2

    Disponible para: Apple TV (3.ª generación)

    Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario

    Descripción: Había un problema de corrupción de la memoria en el análisis de archivos XML. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Disponible para: Apple TV (3.ª generación)

    Impacto: Había varias vulnerabilidades en las versiones de libxml2 anteriores a la 2.9.2; la más grave de ellas podría permitir que un atacante remoto provocara la denegación de servicio

    Descripción: Había varias vulnerabilidades en las versiones de libxml2 anteriores a la 2.9.2. Estos problemas se han solucionado actualizando libxml2 a la versión 2.9.2.

    ID CVE

    CVE-2012-6685: Felix Groebert de Google

    CVE-2014-0191: Felix Groebert de Google

    CVE-2014-3660 : Felix Groebert de Google

  • libxpc

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en la gestión de mensajes XPC incorrectamente formados. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3795: Mathew Rowley

  • libxslt

    Disponible para: Apple TV (4.ª generación)

    Impacto: El procesamiento de XML con fines malintencionados puede provocar la ejecución de código arbitrario

    Descripción: Había un problema de confusión de tipos en libxslt. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7995: puzzor

  • Estructura de ubicación

    Disponible para: Apple TV (3.ª generación)

    Impacto: Un usuario local podría ser capaz de modificar las partes protegidas del sistema de archivos

    Descripción: El problema de vínculo simbólico se ha solucionado mejorando la validación de las rutas.

    ID CVE

    CVE-2015-3759: Cererdlong de Alibaba Mobile Security Team

  • Visor de Office

    Disponible para: Apple TV (3.ª generación)

    Impacto: El análisis de un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario

    Descripción: Había un problema de referencia de entidad externa en el análisis de archivos XML. Este problema se ha solucionado mejorando el análisis.

    ID CVE

    CVE-2015-3784: Bruno Morisson de INTEGRITY S.A.

  • QL Office

    Disponible para: Apple TV (3.ª generación)

    Impacto: Analizar un documento de Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en el análisis de los documentos de Office. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5773: Apple

  • Sandbox_profiles

    Disponible para: Apple TV (3.ª generación)

    Impacto: Una app creada con fines malintencionados podría ser capaz de leer las preferencias gestionadas de otras apps

    Descripción: Había un problema en la zona protegida de apps de terceros. Este problema se ha solucionado mejorando el perfil de zona protegida para terceros.

    ID CVE

    CVE-2015-5749: Andreas Weinlein de Appthority Mobility Threat Team

  • WebKit

    Disponible para: Apple TV (3.ª generación)

    Impacto: El procesamiento de contenido web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Disponible para: Apple TV (3.ª generación)

    Impacto: El contenido web creado con fines malintencionados podría ocasionar el filtrado de los datos de imagen en orígenes cruzados

    Descripción: Las imágenes obtenidas a través de las URL que redirigen a un recurso data:image podrían haberse filtrado en orígenes cruzados. Este problema se ha solucionado mejorando el seguimiento de la corrupción de Canvas.

    ID CVE

    CVE-2015-3753: Antonio Sanso y Damien Antipa de Adobe

  • WebKit

    Disponible para: Apple TV (3.ª generación)

    Impacto: El contenido web creado con fines malintencionados podría activar solicitudes de texto sin formato a un origen bajo seguridad de transporte HTTP estricta

    Descripción: Había un problema que hacía que la política de seguridad de contenido informara de solicitudes que no cumplen la seguridad de transporte HTTP estricta. El problema se ha solucionado aplicando HSTS a CSP.

    ID CVE

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponible para: Apple TV (3.ª generación)

    Impacto: Las solicitudes de informe de política de seguridad de contenido podrían dejar pasar las cookies

    Descripción: Había dos problemas en cómo las cookies se añadían a las solicitudes de informe de política de seguridad de contenido. Las cookies se enviaron en solicitudes de informe de origen cruzado infringiendo el estándar. Las cookies definidas durante la exploración normal se enviaron en navegación privada. Estos problemas se solucionaron mejorando la gestión de las cookies.

    ID CVE

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponible para: Apple TV (3.ª generación)

    Impacto: La carga de una imagen podría infringir la directiva de política de seguridad de contenido de un sitio web

    Descripción: Había un problema que hacía que el procesamiento de contenido web con controles de vídeo cargara imágenes anidadas en elementos de objeto infringiendo la directiva de la política de seguridad de contenido del sitio web. Este problema se ha solucionado mejorando la aplicación de la política de seguridad de contenido.

    ID CVE

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: