Acerca del contenido de seguridad de tvOS 10.0.1

En este documento se describe el contenido de seguridad de tvOS 10.0.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

tvOS 10.0.1

Disponible el 24 de octubre de 2016

AppleMobileFileIntegrity

Disponible para: Apple TV (4.ª generación)

Impacto: un ejecutable firmado podría sustituir código con el mismo ID de equipo

Descripción: había un problema de validación en la gestión de las firmas de código. Este problema se ha solucionado mediante validación adicional.

CVE-2016-7584: Mark Mentovai y Boris Vidolov de Google Inc.

Entrada añadida el 6 de diciembre de 2016

CFNetwork Proxies

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios

Descripción: existía un problema de suplantación de identidad en la gestión de las credenciales del proxy. Se ha solucionado el problema eliminando los mensajes emergentes de autenticación de contraseña del proxy no solicitados.

CVE-2016-7579: Jerry Decime

CoreGraphics

Disponible para: Apple TV (4.ª generación)

Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión de la memoria.

CVE-2016-4673: Marco Grassi (@marcograss) de KeenLab (@keen_lab), Tencent

FontParser

Disponible para: Apple TV (4.ª generación)

Impacto: analizar un tipo de letra creado con fines malintencionados podría revelar información confidencial del usuario

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2016-4660: Ke Liu de Tencent's Xuanwu Lab

FontParser

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario 

Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.

CVE-2016-4688: Simon Huang de la compañía Alipay, thelongestusernameofall@gmail.com

Entrada añadida el 27 de noviembre de 2016

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría divulgar datos de la memoria de kernel

Descripción: el problema de validación se ha solucionado mediante una sanitización de entrada mejorada.

CVE-2016-4680: Max Bazaliy de Lookout e in7egral

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación local podría ser capaz de ejecutar código arbitrario con privilegios root

Descripción: existían varios problemas con la duración de los objetos al crear nuevos procesos. Se ha solucionado este problema mejorando la validación.

CVE-2016-7613: Ian Beer de Google Project Zero

Entrada añadida el 1 de noviembre de 2016

libarchive

Disponible para: Apple TV (4.ª generación)

Impacto: un archivo creado con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios

Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.

CVE-2016-4679: Omer Medan de enSilo Ltd

libxpc

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de raíz

Descripción: se ha mejorado un problema de lógica mediante restricciones adicionales.

CVE-2016-4675: Ian Beer de Google Project Zero

Perfiles de zona protegida

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ser capaz de recuperar metadatos de directorios de fotos

Descripción: se ha solucionado un problema de acceso mediante restricciones de zona protegida adicionales en aplicaciones de otros fabricantes.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Universidad POLITEHNICA de Bucarest); Luke Deshotels, William Enck (Universidad Estatal de Carolina del Norte); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Perfiles de zona protegida

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ser capaz de recuperar metadatos de directorios de grabaciones de voz

Descripción: se ha solucionado un problema de acceso mediante restricciones de zona protegida adicionales en aplicaciones de otros fabricantes.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Universidad POLITEHNICA de Bucarest); Luke Deshotels, William Enck (Universidad Estatal de Carolina del Norte); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Arranque del sistema

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podía provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel

Descripción: existían varios problemas de validación de entradas en código MIG generado. Estos problemas se han solucionado mejorando la validación.

CVE-2016-4669: Ian Beer de Google Project Zero

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: procesar contenido web creado con fines malintencionados podría provocar la revelación de información del usuario

Descripción: se ha solucionado un problema de validación de las entradas mejorando la gestión del estado.

CVE-2016-4613: Chris Palmer

Entrada actualizada el 27 de octubre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2016-4666: Apple

CVE-2016-4677: investigador anónimo en colaboración con Zero Day Initiative de Trend Micro

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2016-7578: Apple

Entrada añadida el 27 de octubre de 2016

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: