Acerca del contenido de seguridad de tvOS 9.2.2

Este documento describe el contenido de seguridad de tvOS 9.2.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

tvOS 9.2.2

Disponible el 18 de julio de 2016

Credenciales CFNetwork

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios

Descripción: existía un problema de reducción con las credenciales de autenticación HTTP guardados en Keychain. Este problema se ha solucionado almacenando los tipos de autenticación con las credenciales.

CVE-2016-4644: Jerry Decime coordinado a través de CERT

CFNetwork Proxies

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios

Descripción: había un problema de validación en el análisis de 407 respuestas. Este problema se ha solucionado mejorando la validación de las respuestas.

CVE-2016-4643: Xiaofeng Zheng of Blue Lotus Team, Tsinghua University; Jerry Decime coordinado a través de CERT

CFNetwork Proxies

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación puede enviar sin saberlo una contraseña sin cifrar a través de la red

Descripción: la autenticación proxy informó incorrectamente de que los proxies HTTP recibieron las credenciales de forma segura. Este problema se ha solucionado mejorando las advertencias.

CVE-2016-4642: Jerry Decime coordinado a través de CERT

CoreGraphics

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2016-4637: Tyler Bohan de Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante remoto podría provocar una denegación de servicio

Descripción: se ha solucionado un problema de uso de memoria mejorando la gestión de la memoria.

CVE-2016-4632: Evgeny Sidorov de Yandex

ImageIO

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2016-4631: Tyler Bohan de Cisco Talos (talosintel.com/vulnerability-reports)

IOAcceleratorFamily

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2016-4627: Ju Zhu de Trend Micro

IOHIDFamily

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado una falta de referencia de puntero nulo mediante la mejora de la validación de las entradas.

CVE-2016-4626: Stefan Esser de SektionEins

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2016-1863: Ian Beer de Google Project Zero

CVE-2016-4653: Ju Zhu de Trend Micro

CVE-2016-4582: Shrek_wzw y Proteas de Qihoo 360 Nirvan Team

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría provocar una denegación de servicio del sistema

Descripción: se ha solucionado una falta de referencia de puntero nulo mediante la mejora de la validación de las entradas.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) de KeenLab(@keen_lab), Tencent

libxml2

Disponible para: Apple TV (4.ª generación)

Impacto: analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario

Descripción: existía un problema de acceso en el análisis de archivos XML creados con fines malintencionados. Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2016-4449: Kostya Serebryany

libxml2

Disponible para: Apple TV (4.ª generación)

Impacto: varias vulnerabilidades en libxml2

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei y Liu Yang de la Nanyang Technological University

CVE-2016-4447: Wei Lei y Liu Yang de la Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Entrada actualizada el 5 de junio de 2017

libxslt

Disponible para: Apple TV (4.ª generación)

Impacto: varias vulnerabilidades en libxslt

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Entrada actualizada el 11 de abril de 2017

Perfiles de zona protegida

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación local podría tener acceso a la lista de procesos

Descripción: existía un problema de accesos con las llamadas de API con privilegios. Para resolver este problema se han aplicado restricciones adicionales.

CVE-2016-4594: Stefan Esser de SektionEins

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2016-4586: Apple

CVE-2016-4588: Apple

CVE-2016-4589: Tongbo Luo y Bo Qu de Palo Alto Networks

CVE-2016-4622: Samuel Gross en colaboración con Zero Day Initiative de Trend Micro

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web con fines malintencionados puede divulgar datos de imagen de otro sitio web

Descripción: existía un problema de temporización en el procesamiento de SVG. Para resolver este problema se ha mejorado la validación.

CVE-2016-4583: Roeland Krak

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2016-4587: Apple

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: al visitar un sitio web creado con fines malintencionados podría filtrarse información confidencial

Descripción: existía un problema de permisos en la gestión de la variable de ubicación. Esto se ha solucionado mediante comprobaciones de propiedad adicionales.

CVE-2016-4591: ma.la de LINE Corporation

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar una denegación de servicio del sistema

Descripción: se ha solucionado un problema de uso de memoria mejorando la gestión de la memoria.

CVE-2016-4592: Mikhail

Carga de páginas de WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución

de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria

mejorando la gestión de la memoria.

CVE-2016-4584: Chris Vienneau

Carga de páginas de WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

Descripción: existía un problema de vulnerabilidad de secuencias de comandos entre sitios en redireccionamiento de URL de Safari. Este problema se ha solucionado mejorando la validación de las direcciones URL en el momento de redireccionamiento.

CVE-2016-4585: Takeshi Terada de Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: