Acerca del contenido de seguridad de tvOS 10.0.1
En este documento se describe el contenido de seguridad de tvOS 10.0.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
tvOS 10.0.1
AppleMobileFileIntegrity
Disponible para: Apple TV (4.ª generación)
Impacto: un ejecutable firmado podría sustituir código con el mismo ID de equipo
Descripción: había un problema de validación en la gestión de las firmas de código. Este problema se ha solucionado mediante validación adicional.
CVE-2016-7584: Mark Mentovai y Boris Vidolov de Google Inc.
CFNetwork Proxies
Disponible para: Apple TV (4.ª generación)
Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios
Descripción: existía un problema de suplantación de identidad en la gestión de las credenciales del proxy. Se ha solucionado el problema eliminando los mensajes emergentes de autenticación de contraseña del proxy no solicitados.
CVE-2016-7579: Jerry Decime
CoreGraphics
Disponible para: Apple TV (4.ª generación)
Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-4673: Marco Grassi (@marcograss) de KeenLab (@keen_lab), Tencent
FontParser
Disponible para: Apple TV (4.ª generación)
Impacto: analizar un tipo de letra creado con fines malintencionados podría revelar información confidencial del usuario
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2016-4660: Ke Liu de Tencent's Xuanwu Lab
FontParser
Disponible para: Apple TV (4.ª generación)
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-2016-4688: Simon Huang de la compañía Alipay, thelongestusernameofall@gmail.com
Kernel
Disponible para: Apple TV (4.ª generación)
Impacto: una aplicación podría divulgar datos de la memoria de kernel
Descripción: el problema de validación se ha solucionado mediante una sanitización de entrada mejorada.
CVE-2016-4680: Max Bazaliy de Lookout e in7egral
Kernel
Disponible para: Apple TV (4.ª generación)
Impacto: una aplicación local podría ser capaz de ejecutar código arbitrario con privilegios root
Descripción: existían varios problemas con la duración de los objetos al crear nuevos procesos. Se ha solucionado este problema mejorando la validación.
CVE-2016-7613: Ian Beer de Google Project Zero
libarchive
Disponible para: Apple TV (4.ª generación)
Impacto: un archivo creado con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2016-4679: Omer Medan de enSilo Ltd
libxpc
Disponible para: Apple TV (4.ª generación)
Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de raíz
Descripción: se ha mejorado un problema de lógica mediante restricciones adicionales.
CVE-2016-4675: Ian Beer de Google Project Zero
Perfiles de zona protegida
Disponible para: Apple TV (4.ª generación)
Impacto: una aplicación podría ser capaz de recuperar metadatos de directorios de fotos
Descripción: se ha solucionado un problema de acceso mediante restricciones de zona protegida adicionales en aplicaciones de otros fabricantes.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Universidad POLITEHNICA de Bucarest); Luke Deshotels, William Enck (Universidad Estatal de Carolina del Norte); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Perfiles de zona protegida
Disponible para: Apple TV (4.ª generación)
Impacto: una aplicación podría ser capaz de recuperar metadatos de directorios de grabaciones de voz
Descripción: se ha solucionado un problema de acceso mediante restricciones de zona protegida adicionales en aplicaciones de otros fabricantes.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Universidad POLITEHNICA de Bucarest); Luke Deshotels, William Enck (Universidad Estatal de Carolina del Norte); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Arranque del sistema
Disponible para: Apple TV (4.ª generación)
Impacto: un usuario local podía provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel
Descripción: existían varios problemas de validación de entradas en código MIG generado. Estos problemas se han solucionado mejorando la validación.
CVE-2016-4669: Ian Beer de Google Project Zero
WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: procesar contenido web creado con fines malintencionados podría provocar la revelación de información del usuario
Descripción: se ha solucionado un problema de validación de las entradas mejorando la gestión del estado.
CVE-2016-4613: Chris Palmer
WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-4666: Apple
CVE-2016-4677: investigador anónimo en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-7578: Apple
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.