Acerca del contenido de seguridad de tvOS 9.2.2
Este documento describe el contenido de seguridad de tvOS 9.2.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
tvOS 9.2.2
Credenciales CFNetwork
Disponible para: Apple TV (4.ª generación)
Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios
Descripción: existía un problema de reducción con las credenciales de autenticación HTTP guardados en Keychain. Este problema se ha solucionado almacenando los tipos de autenticación con las credenciales.
CVE-2016-4644: Jerry Decime coordinado a través de CERT
CFNetwork Proxies
Disponible para: Apple TV (4.ª generación)
Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios
Descripción: había un problema de validación en el análisis de 407 respuestas. Este problema se ha solucionado mejorando la validación de las respuestas.
CVE-2016-4643: Xiaofeng Zheng of Blue Lotus Team, Tsinghua University; Jerry Decime coordinado a través de CERT
CFNetwork Proxies
Disponible para: Apple TV (4.ª generación)
Impacto: una aplicación puede enviar sin saberlo una contraseña sin cifrar a través de la red
Descripción: la autenticación proxy informó incorrectamente de que los proxies HTTP recibieron las credenciales de forma segura. Este problema se ha solucionado mejorando las advertencias.
CVE-2016-4642: Jerry Decime coordinado a través de CERT
CoreGraphics
Disponible para: Apple TV (4.ª generación)
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2016-4637: Tyler Bohan de Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Disponible para: Apple TV (4.ª generación)
Impacto: un atacante remoto podría provocar una denegación de servicio
Descripción: se ha solucionado un problema de uso de memoria mejorando la gestión de la memoria.
CVE-2016-4632: Evgeny Sidorov de Yandex
ImageIO
Disponible para: Apple TV (4.ª generación)
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-4631: Tyler Bohan de Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Disponible para: Apple TV (4.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2016-7705: Craig Young de Tripwire VERT
IOAcceleratorFamily
Disponible para: Apple TV (4.ª generación)
Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.
CVE-2016-4627: Ju Zhu de Trend Micro
IOHIDFamily
Disponible para: Apple TV (4.ª generación)
Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado una falta de referencia de puntero nulo mediante la mejora de la validación de las entradas.
CVE-2016-4626: Stefan Esser de SektionEins
Kernel
Disponible para: Apple TV (4.ª generación)
Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-1863: Ian Beer de Google Project Zero
CVE-2016-4653: Ju Zhu de Trend Micro
CVE-2016-4582: Shrek_wzw y Proteas de Qihoo 360 Nirvan Team
Kernel
Disponible para: Apple TV (4.ª generación)
Impacto: un usuario local podría provocar una denegación de servicio del sistema
Descripción: se ha solucionado una falta de referencia de puntero nulo mediante la mejora de la validación de las entradas.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) de KeenLab(@keen_lab), Tencent
libxml2
Disponible para: Apple TV (4.ª generación)
Impacto: analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario
Descripción: existía un problema de acceso en el análisis de archivos XML creados con fines malintencionados. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2016-4449: Kostya Serebryany
libxml2
Disponible para: Apple TV (4.ª generación)
Impacto: varias vulnerabilidades en libxml2
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei y Liu Yang de la Nanyang Technological University
CVE-2016-4447: Wei Lei y Liu Yang de la Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxslt
Disponible para: Apple TV (4.ª generación)
Impacto: varias vulnerabilidades en libxslt
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Perfiles de zona protegida
Disponible para: Apple TV (4.ª generación)
Impacto: una aplicación local podría tener acceso a la lista de procesos
Descripción: existía un problema de accesos con las llamadas de API con privilegios. Para resolver este problema se han aplicado restricciones adicionales.
CVE-2016-4594: Stefan Esser de SektionEins
WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-4586: Apple
CVE-2016-4588: Apple
CVE-2016-4589: Tongbo Luo y Bo Qu de Palo Alto Networks
CVE-2016-4622: Samuel Gross en colaboración con Zero Day Initiative de Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: el procesamiento de contenido web con fines malintencionados puede divulgar datos de imagen de otro sitio web
Descripción: existía un problema de temporización en el procesamiento de SVG. Para resolver este problema se ha mejorado la validación.
CVE-2016-4583: Roeland Krak
WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2016-4587: Apple
WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: al visitar un sitio web creado con fines malintencionados podría filtrarse información confidencial
Descripción: existía un problema de permisos en la gestión de la variable de ubicación. Esto se ha solucionado mediante comprobaciones de propiedad adicionales.
CVE-2016-4591: ma.la de LINE Corporation
WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar una denegación de servicio del sistema
Descripción: se ha solucionado un problema de uso de memoria mejorando la gestión de la memoria.
CVE-2016-4592: Mikhail
Carga de páginas de WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución
de código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria
mejorando la gestión de la memoria.
CVE-2016-4584: Chris Vienneau
Carga de páginas de WebKit
Disponible para: Apple TV (4.ª generación)
Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados
Descripción: existía un problema de vulnerabilidad de secuencias de comandos entre sitios en redireccionamiento de URL de Safari. Este problema se ha solucionado mejorando la validación de las direcciones URL en el momento de redireccionamiento.
CVE-2016-4585: Takeshi Terada de Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.