Acerca del contenido de seguridad de tvOS 13.2

En este documento se describe el contenido de seguridad de tvOS 13.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 13.2

Cuentas

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un atacante remoto podría filtrar memoria.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2019-8787: Steffen Klee de Secure Mobile Networking Lab en la Universidad Técnica de Darmstadt

App Store

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un atacante local podría iniciar sesión en la cuenta de un usuario que haya iniciado sesión previamente sin credenciales válidas.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Audio

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8785: Ian Beer de Google Project Zero

CVE-2019-8797: 08Tc3wBB en colaboración con SSD Secure Disclosure

AVEVideoEncoder

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8795: 08Tc3wBB en colaboración con SSD Secure Disclosure

Eventos del sistema de archivos

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8798: ABC Research s.r.o. en colaboración con Zero Day Initiative de Trend Micro

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2019-8794: 08Tc3wBB en colaboración con SSD Secure Disclosure

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8786: Wen Xu del Instituto de Tecnología de Georgia, becaria de Microsoft Offensive Security Research

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se trató una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2019-8829: Jann Horn de Google Project Zero

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2019-8813: investigador anónimo

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2019-8782: Cheolung Lee de LINE+ Graylab Security Team

CVE-2019-8783: Cheolung Lee de LINE+ Graylab Security Team

CVE-2019-8808: detectado por OSS-Fuzz

CVE-2019-8811: Soyeon Park de SSLab en el Instituto de Tecnología de Georgia

CVE-2019-8812: JunDong Xie de Ant-financial Light-Year Security Lab

CVE-2019-8814: Cheolung Lee de LINE+ Graylab Security Team

CVE-2019-8816: Soyeon Park de SSLab en el Instituto de Tecnología de Georgia

CVE-2019-8819: Cheolung Lee de LINE+ Graylab Security Team

CVE-2019-8820: Samuel Groß de Google Project Zero

CVE-2019-8821: Sergei Glazunov de Google Project Zero

CVE-2019-8822: Sergei Glazunov de Google Project Zero

CVE-2019-8823: Sergei Glazunov de Google Project Zero

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: visitar un sitio web creado con fines malintencionados podría revelar los sitios que ha visitado un usuario

Descripción: el encabezado del origen de referencia HTTP podría usarse para filtrar el historial de navegación. Este problema se ha resuelto devolviendo todos los orígenes de referencia de otros fabricantes a su estado original.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum y Roberto Clapis de Google Security Team

Modelo de procesos WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2019-8815: Apple

Otros agradecimientos

CFNetwork

Queremos dar las gracias por su ayuda a Lily Chen de Google.

Kernel

Queremos dar las gracias por su ayuda a Daniel Roethlisberger de Swisscom CSIRT y Jann Horn de Google Project Zero.

WebKit

Queremos dar las gracias por su ayuda a Dlive de Tencent’s Xuanwu Lab y Zhiyi Zhang de Codesafe Team of Legendsec en Qi’anxin Group.