Acerca del contenido de seguridad de Apple TV 7

En este documento se describe el contenido de seguridad de Apple TV 7.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.

Apple TV 7

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un atacante puede obtener credenciales Wi-Fi

    Descripción: Un atacante podría haberse hecho pasar por un punto de acceso Wi-Fi, ofrecerse para autenticación con LEAP, romper el hash MS-CHAPv1 y usar las credenciales derivadas para autenticarse en dicho punto de acceso, incluso si este admitía métodos de autenticación más seguros. Este problema se ha solucionado eliminando la compatibilidad para LEAP.

    ID CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax y Wim Lamotte de la Universiteit Hasselt

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un atacante con acceso a un dispositivo podría acceder también a información confidencial del usuario a partir de los registros

    Descripción: Se registraba información confidencial del usuario. Este problema se ha solucionado reduciendo la cantidad de información registrada.

    ID CVE

    CVE-2014-4357: Heli Myllykoski del OP-Pohjola Group

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un atacante con una posición de red privilegiada podría provocar que un dispositivo creyera estar actualizado, cuando en realidad no lo estaba

    Descripción: Existía un problema de validación en la gestión de respuestas de comprobación de actualizaciones. Se empleaban fechas falsas de las cabeceras de respuesta Last-Modified configuradas con fechas futuras para las comprobaciones If-Modified-Since en posteriores solicitudes de actualización. Este problema se ha solucionado validando la cabecera Last-Modified.

    ID CVE

    CVE-2014-4383: Raul Siles de DinoSec

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la divulgación de información

    Descripción: Existía un problema de lectura fuera de los límites en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación podría provocar la finalización inesperada del sistema

    Descripción: Existía un problema de falta de referencia de puntero nulo en la gestión de argumentos de la API IOAcceleratorFamily. Este problema se ha solucionado mejorando la validación de los argumentos de la API IOAcceleratorFamily.

    ID CVE

    CVE-2014-4369: Catherine, alias "winocm", y Cererdlong de Alibaba Mobile Security Team

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: El dispositivo podía reiniciarse de forma inesperada

    Descripción: Existía un problema de falta de referencia de puntero nulo en el driver IntelAccelerator. Este problema se ha solucionado mejorando la gestión de errores.

    ID CVE

    CVE-2014-4373: cunzhang de Adlab, de Venustech

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de leer punteros del kernel, los cuales pueden emplearse para eludir la aleatorización del espacio de direcciones del kernel

    Descripción: Existía un problema de lectura fuera de los límites en la gestión de una función IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4379: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento del búfer de pila en la gestión de propiedades de asignación de claves por parte de IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4404: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de falta de referencia de puntero nulo en la gestión de propiedades de asignación de claves por parte de IOHIDFamily. Este problema se ha solucionado mejorando la validación de las propiedades de asignación de claves de IOHIDFamily.

    ID CVE

    CVE-2014-4405: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

    Descripción: Existía un problema de escritura fuera de los límites en la extensión de kernel IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4380: cunzhang de Adlab de Venustech

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de leer datos no inicializados de la memoria del kernel

    Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la inicialización de la memoria.

    ID CVE

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.

    ID CVE

    CVE-2014-4418: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.

    ID CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la validación de los argumentos de la API IOKit.

    ID CVE

    CVE-2014-4389: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un usuario local podría ser capaz de determinar el diseño de memoria de kernel

    Descripción: Existían varios problemas de memoria no inicializada en la interfaz de estadísticas de red que provocaban la divulgación de contenido de la memoria del kernel. Este problema se ha solucionado mediante la inicialización adicional de la memoria.

    ID CVE

    CVE-2014-4371: Fermín J. Serna del Google Security Team

    CVE-2014-4419: Fermín J. Serna del Google Security Team

    CVE-2014-4420: Fermín J. Serna del Google Security Team

    CVE-2014-4421: Fermín J. Serna del Google Security Team

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una persona con una posición de red privilegiada podría provocar una denegación de servicio

    Descripción: Existía un problema de condición de carrera en la gestión de paquetes IPv6. Este problema se ha solucionado mejorando la comprobación del estado de bloqueo.

    ID CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un usuario local podría provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel

    Descripción: Existía un problema de vulnerabilidad "double free" en la gestión de puertos Mach. Este problema se ha solucionado mejorando la validación de puertos Mach.

    ID CVE

    CVE-2014-4375

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un usuario local podría provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel

    Descripción: Existía un problema de lectura fuera de los límites en rt_setgate. Esto podía provocar la divulgación de memoria o corrupción de memoria. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4408

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Algunas medidas de refuerzo del kernel podrían eludirse

    Descripción: El generador de números aleatorios "early" usado en determinadas medidas de refuerzo del kernel no era criptográficamente seguro y parte de su salida quedaba expuesta al espacio de usuarios, lo que daba lugar a la omisión de las medidas de refuerzo. Este problema se ha solucionado reemplazando el generador de números aleatorios por un algoritmo criptográficamente seguro y usando un núcleo de 16 bytes.

    ID CVE

    CVE-2014-4422: Tarjei Mandt de Azimuth Security

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios root

    Descripción: Existía un problema de escritura fuera de los límites en Libnotify. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4381: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un usuario local podría modificar los permisos de archivos aleatorios

    Descripción: syslogd seguía enlaces simbólicos mientras se cambiaban los permisos de los archivos. Este problema se ha solucionado mejorando la gestión de los enlaces simbólicos.

    ID CVE

    CVE-2014-4372: Tielei Wang y YeongJin Jang del Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un atacante con una posición de red privilegiada podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2013-6663: Atte Kettunen de OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel de Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: