Acerca del contenido de seguridad de tvOS 10.1

En este documento se describe el contenido de seguridad de tvOS 10.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

tvOS 10.1

Publicado el 12 de diciembre de 2016

Audio

Disponible para: Apple TV (4.ª generación)

Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2016-7658: Haohao Kong de Keen Lab (@keen_lab) de Tencent

CVE-2016-7659: Haohao Kong de Keen Lab (@keen_lab) de Tencent

Entrada añadida el 13 de diciembre de 2016

CoreFoundation

Disponible para: Apple TV (4.ª generación)

Impacto: procesar cadenas maliciosas podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario

Descripción: existía un problema de corrupción de memoria en el procesamiento de las cadenas. Este problema se ha solucionado mejorando la comprobación de los límites.

CVE-2016-7663: investigador anónimo

Entrada añadida el 13 de diciembre de 2016

CoreGraphics

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de la aplicación

Descripción: se ha solucionado una falta de referencia de puntero nulo mediante la mejora de la validación de las entradas.

CVE-2016-7627: TRAPMINE Inc. y Meysam Firouzi @R00tkitSMM

Entrada añadida el 13 de diciembre de 2016

Pantallas externas de CoreMedia

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación local podría ejecutar código arbitrario en el contexto del daemon del servidor de medios

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2016-7655: Keen Lab en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 13 de diciembre de 2016

Reproducción CoreMedia

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo de tipo .mp4 con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2016-7588: dragonltx de Huawei 2012 Laboratories

Entrada añadida el 13 de diciembre de 2016

CoreText

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: había varios problemas de corrupción de la memoria en la gestión de archivos de tipo de letra. Estos problemas se han solucionado mejorando la comprobación de los límites.

CVE-2016-7595: riusksk(泉哥) de Tencent Security Platform Department

Entrada añadida el 13 de diciembre de 2016

CoreText

Disponible para: Apple TV (4.ª generación)

Impacto: procesar una cadena creada con fines malintencionados podría originar la denegación del servicio

Descripción: se ha tratado un problema que se daba al reproducir rangos que se solapaban mediante la validación mejorada.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) de Digital Unit (dgunit.com)

Entrada añadida el 15 de diciembre de 2016

Imágenes de disco

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2016-7616: daybreaker@Minionz en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 13 de diciembre de 2016

FontParser

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: había varios problemas de corrupción de la memoria en la gestión de archivos de tipo de letra. Estos problemas se han solucionado mejorando la comprobación de los límites.

CVE-2016-4691: riusksk(泉哥) de Tencent Security Platform Department

Entrada añadida el 13 de diciembre de 2016

ICU

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2016-7594: André Bargull

Entrada añadida el 13 de diciembre de 2016

ImageIO

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante remoto podría filtrar memoria

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2016-7643: Yangkang (@dnpushme) de Qihoo360 Qex Team

Entrada añadida el 13 de diciembre de 2016

IOHIDFamily

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación local con privilegios del sistema podría ser capaz de ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2016-7591: daybreaker de Minionz

Entrada añadida el 13 de diciembre de 2016

IOKit

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría leer la memoria de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2016-7657: Keen Lab en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 13 de diciembre de 2016

IOKit

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría determinar el diseño de memoria de kernel

Descripción: se ha solucionado un problema de memoria compartida mejorando la gestión de la memoria.

CVE-2016-7714: Qidan He (@flanker_hqd) de KeenLab en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 25 de enero de 2017

JavaScriptCore

Disponible para: Apple TV (4.ª generación)

Impacto: un script que se ejecuta en una zona protegida de JavaScript podría acceder al estado fuera de esa zona protegida

Descripción: existía un problema de validación en el procesamiento de JavaScript. Para resolver este problema se ha mejorado la validación.

CVE-2016-4695: Mark S. Miller de Google

Entrada añadida el 16 de agosto de 2017

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel 

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2016-7606: @cocoahuke, Chen Qin de Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer de Google Project Zero

Entrada añadida el 13 de diciembre de 2016

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría leer la memoria de kernel

Descripción: un problema de inicialización insuficiente se ha solucionado inicializando debidamente la memoria devuelta al espacio de usuario.

CVE-2016-7607: Brandon Azad

Entrada añadida el 13 de diciembre de 2016

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría provocar una denegación de servicio del sistema

Descripción: se ha solucionado un problema de denegación de servicio mejorando la gestión de la memoria.

CVE-2016-7615: el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido

Entrada añadida el 13 de diciembre de 2016

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2016-7621: Ian Beer de Google Project Zero

Entrada añadida el 13 de diciembre de 2016

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría ser capaz de obtener privilegios de raíz

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2016-7637: Ian Beer de Google Project Zero

Entrada añadida el 13 de diciembre de 2016

Kernel

Disponibilidad: Apple TV (4.ª generación)

Impacto: una aplicación podría provocar la denegación del servicio

Descripción: se ha solucionado un problema de denegación de servicio mejorando la gestión de la memoria.

CVE-2016-7647: Lufeng Li of Qihoo 360 Vulcan Team

Entrada añadida el 17 de mayo de 2017

libarchive

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante local podría sobrescribir los archivos existentes

Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Para resolver este problema se ha mejorado la validación de los enlaces simbólicos.

CVE-2016-7619: investigador anónimo

Entrada añadida el 13 de diciembre de 2016

Gestión de la alimentación

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría ser capaz de obtener privilegios de raíz

Descripción: había un problema en las referencias de nombre de puerto Mach que se ha solucionado mejorando la validación.

CVE-2016-7661: Ian Beer de Google Project Zero

Entrada añadida el 13 de diciembre de 2016

Perfiles

Disponible para: Apple TV (4.ª generación)

Impacto: abrir un certificado creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: existía un problema de corrupción de la memoria en la gestión de los perfiles de certificado. Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Seguridad

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante podría aprovecharse de los puntos débiles en el algoritmo criptográfico 3DES

Descripción: 3DES se ha eliminado como cifrado predeterminado.

CVE-2016-4693: Gaëtan Leurent y Karthikeyan Bhargavan de INRIA París

Entrada añadida el 13 de diciembre de 2016

Seguridad

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante en una posición de red privilegiada podría provocar una denegación de servicio

Descripción: había un problema de validación en la gestión de las URL de respuesta OCSP. Para resolver este problema se ha comprobado el estado de revocación de OCSP tras la validación de la CA y limitado el número de solicitudes OCSP por certificado.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Entrada añadida el 13 de diciembre de 2016

Seguridad

Disponible para: Apple TV (4.ª generación)

Impacto: los certificados podrían evaluarse, de forma inesperada, como de confianza

Descripción: había un problema de evaluación de certificados en la validación de certificados. Para resolver este problema, los certificados tienen una validación adicional.

CVE-2016-7662: Apple

Entrada añadida el 13 de diciembre de 2016

syslog

Disponible para: Apple TV (4.ª generación)

Impacto: un usuario local podría ser capaz de obtener privilegios de raíz

Descripción: había un problema en las referencias de nombre de puerto Mach que se ha solucionado mejorando la validación.

CVE-2016-7660: Ian Beer de Google Project Zero

Entrada añadida el 13 de diciembre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Entrada añadida el 13 de diciembre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2016-4743: Alan Cutter

Entrada añadida el 13 de diciembre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la información del usuario

Descripción: se ha solucionado un problema de validación mejorando la gestión del estado.

CVE-2016-7586: Boris Zbarsky

Entrada añadida el 13 de diciembre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión del estado.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang del Baidu Security Lab en colaboración con Zero Day Initiative de Trend Micro

CVE-2016-7611: investigador anónimo en colaboración con Zero Day Initiative de Trend Micro

CVE-2016-7639: Tongbo Luo de Palo Alto Networks

CVE-2016-7640: Kai Kang de Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7641: Kai Kang de Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7642: Tongbo Luo de Palo Alto Networks

CVE-2016-7645: Kai Kang de Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7646: Kai Kang de Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7648: Kai Kang de Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7649: Kai Kang de Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7654: Keen Lab en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 13 de diciembre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2016-7589: Apple

CVE-2016-7656: Keen Lab en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 13 de diciembre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de acceso de memoria sin inicializar mejorando la inicialización de la memoria.

CVE-2016-7598: Samuel Groß

Entrada añadida el 13 de diciembre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la información del usuario

Descripción: existía un problema en la gestión de los redireccionamientos HTTP. Este problema se ha solucionado mejorando la validación entre orígenes.

CVE-2016-7599: Muneaki Nishimura (nishimunea) de Recruit Technologies Co., Ltd.

Entrada añadida el 13 de diciembre de 2016

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: procesar contenido web creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2016-7632: Jeonghoon Shin

Entrada añadida el 13 de diciembre de 2016

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: