Acerca del contenido de seguridad de Apple TV 7.0.3

Este documento describe el contenido de seguridad de Apple TV 7.0.3.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.

Apple TV 7.0.3

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un comando afc creado con fines malintencionados podría permitir el acceso a partes protegidas del sistema de archivos

    Descripción: Existía una vulnerabilidad en el mecanismo de enlace simbólico de afc. Este problema se ha solucionado añadiendo comprobaciones adicionales de las rutas.

    ID CVE

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4481: Felipe Andrés Manzano de Binamuse VRT, por medio del programa iSIGHT Partners GVP

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Un usuario local podría ser capaz de ejecutar código sin firma

    Descripción: Existía un problema de administración de estado en la gestión de archivos ejecutables Mach-O con segmentos superpuestos. Este problema se ha solucionado mejorando la validación del tamaño de los segmentos

    ID CVE

    CVE-2014-4455: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de buffer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4483: Apple

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: El procesamiento de un archivo .dfont creado con fines malintencionados podría provocar la finalización inesperada de de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos .dfont. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4484: Gaurav Baruah en colaboración con la Zero Day Initiative de HP

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: La visualización de un archivo XML creado con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del buffer en el analizador XML. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4485: Apple

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios de sistema malintencionada podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Existía un problema de falta de referencia de puntero nulo en la gestión de las listas de recursos que realiza IOAcceleratorFamily. Este problema se ha solucionado eliminando el código innecesario.

    ID CVE

    CVE-2014-4486: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Existía un problema de desbordamiento del buffer en IOHIDFamily. Este problema se ha solucionado mejorando la validación del tamaño.

    ID CVE

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Existía un problema de validación en la gestión de los metadatos de cola que realiza IOHIDFamily. Este problema se ha solucionado mejorando la validación de los metadatos.

    ID CVE

    CVE-2014-4488: Apple

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Existía un problema de falta de referencia de puntero nulo en la gestión de las colas de eventos que realiza IOHIDFamily. Este problema se ha solucionado mejorando la validación.

    ID CVE

    CVE-2014-4489: @beist

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Ciertas aplicaciones de iOS creadas con fines malintencionados o en riesgo podrían ser capaces de determinar direcciones en el kernel

    Descripción: Existía un problema de divulgación de información en la gestión de API relacionadas con las extensiones de kernel. Las respuestas que contenían una clave OSBundleMachOHeaders podían haber incluido direcciones de kernel, las cuales podían ayudar a anular la protección de la aleatorización del diseño del espacio de direcciones. Este problema se ha solucionado desligando las direcciones antes de devolverlas.

    ID CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Existía un problema en el subsistema de memoria compartida del kernel que permitía que un atacante pudiera escribir en la memoria que se suponía que era de solo lectura. Este problema se ha solucionado con una comprobación más estricta de los permisos de memoria compartida.

    ID CVE

    CVE-2014-4495: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Ciertas aplicaciones de iOS creadas con fines malintencionados o en riesgo pueden ser capaces de determinar direcciones en el kernel

    Descripción: La interfaz de kernel mach_port_kobject daba a conocer direcciones kernel y valores de permutación de memoria dinámica, lo que podría ayudar a anular la protección de aleatorización del diseño de espacio de direcciones. Este problema se ha solucionado desactivando la interfaz mach_port_kobject en las configuraciones de producción.

    ID CVE

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Una app protegida y creada con fines malintencionados podría poner en peligro el daemon networkd

    Descripción: Existían varios problemas de confusión de tipo en la gestión de la comunicación interproceso que realiza networkd. Si se enviaba un mensaje creado con fines malintencionados a networkd, se podría ejecutar código arbitrario como proceso networkd. Este problema se ha solucionado mediante la comprobación adicional de tipo.

    ID CVE

    CVE-2014-4492: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Las hojas de estilo se cargan desde orígenes cruzados, lo que podría permitir la filtración de datos

    Descripción: Un SVG cargado en un elemento img podría cargar un archivo CSS desde orígenes cruzados. Este problema se ha solucionado mejorando bloqueando las referencias CSS externas en los SVG.

    ID CVE

    CVE-2014-4465: Rennie deGraaf de iSEC Partners

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT en colaboración con la Zero Day Initiative de HP

    CVE-2014-4479: Apple

  • Apple TV

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: La biblioteca libgssapi Kerberos devolvía un identificador de contexto con un puntero suspendido. Este problema se ha solucionado mejorando la gestión del estado.

    ID CVE

    CVE-2014-5352

  •  

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: