Acerca del contenido de seguridad de tvOS 10.2

En este documento se describe el contenido de seguridad de tvOS 10.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

tvOS 10.2

Disponible el 27 de marzo de 2017

Audio

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2430: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

CVE-2017-2462: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

Carbon

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo .dfont creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) de Tencent Security Platform Department

CoreGraphics

Disponible para: Apple TV (4.ª generación)

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio

Descripción: se ha solucionado una recurrencia infinita mejorando la gestión del estado.

CVE-2017-2417: riusksk (泉哥) de Tencent Security Platform Department

CoreGraphics

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2444: Mei Wang de 360 GearTeam

CoreText

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponible para: Apple TV (4.ª generación)

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponible para: Apple TV (4.ª generación)

Impacto: procesar un mensaje de texto creado con fines malintencionados podría provocar la denegación del servicio

Descripción: se ha solucionado un problema de falta de recursos mediante la mejora de la validación de entrada.

CVE-2017-2461: investigador anónimo, Isaac Archambault de IDAoADI

FontParser

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2487: riusksk (泉哥) de Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) de Tencent Security Platform Department

FontParser

Disponible para: Apple TV (4.ª generación)

Impacto: analizar un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2407: riusksk (泉哥) de Tencent Security Platform Department

FontParser

Disponible para: Apple TV (4.ª generación)

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Disponible para: Apple TV (4.ª generación)

Impacto: un servidor HTTP/2 malintencionado podría provocar un comportamiento indefinido

Descripción: existían varios problemas en nghttp2 antes de 1.17.0. Estos problemas se han solucionado mediante la actualización de nghttp2 a la versión 1.17.0.

CVE-2017-2428

Entrada actualizada el 28 de marzo de 2017

ImageIO

Disponible para: Apple TV (4.ª generación)

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) de KeenLab, Tencent

ImageIO

Disponible para: Apple TV (4.ª generación)

Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2432: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

ImageIO

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2467

ImageIO

Disponible para: Apple TV (4.ª generación)

Impacto: procesar una imagen creada con fines malintencionados podría provocar el cierre inesperado de la aplicación

Descripción: existía una lectura fuera de los límites en las versiones de LibTIFF antes de 4.0.7. Este problema se ha solucionado actualizando LibTIFF en ImageIO a la versión 4.0.7.

CVE-2016-3619

JavaScriptCore

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2491: Apple

Entrada añadida el 2 de mayo de 2017

JavaScriptCore

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de una página web creada con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios

Descripción: se ha solucionado un problema del prototipo mediante una lógica mejorada.

CVE-2017-2492: lokihardt de Google Project Zero

Entrada actualizada el 24 de abril de 2017

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2401: Lufeng Li de Qihoo 360 Vulcan Team

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.

CVE-2017-2440: investigador anónimo

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de raíz

Descripción: se ha solucionado una condición de carrera mejorando la gestión de la memoria.

CVE-2017-2456: lokihardt de Google Project Zero

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2472: Ian Beer de Google Project Zero

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2473: Ian Beer de Google Project Zero

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de un byte mejorando la comprobación de límites.

CVE-2017-2474: Ian Beer de Google Project Zero

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado una condición de carrera mediante bloqueo.

CVE-2017-2478: Ian Beer de Google Project Zero

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2017-2482: Ian Beer de Google Project Zero

CVE-2017-2483: Ian Beer de Google Project Zero

Kernel

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de alto nivel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-2490: Ian Beer de Google Project Zero, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido

Entrada añadida el 31 de marzo de 2017

Teclados

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario

Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.

CVE-2017-2458: Shashank (@cyberboyIndia)

Llavero

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante que interceptase conexiones TLS podría ser capaz de leer secretos protegidos con el llavero de iCloud.

Descripción: en determinadas circunstancias, el llavero de iCloud no validaba correctamente la autenticidad de los paquetes OTR. Para resolver este problema se ha mejorado la validación.

CVE-2017-2448: Alex Radocea de Longterm Security, Inc.

Entrada actualizada el 30 de marzo de 2017

libarchive

Disponible para: Apple TV (4.ª generación)

Impacto: un atacante local podría ser capaz de cambiar los permisos del sistema de archivos en directorios arbitrarios

Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Para resolver este problema se ha mejorado la validación de los enlaces simbólicos.

CVE-2017-2390: Omer Medan de enSilo Ltd

libc++abi

Disponible para: Apple TV (4.ª generación)

Impacto: cambiar los identificadores de una aplicación C++ malintencionada a los identificadores fuente podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2441

libxslt

Disponible para: Apple TV (4.ª generación)

Impacto: varias vulnerabilidades en libxslt

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2017-5029: Holger Fuhrmannek

Entrada añadida el 28 de marzo de 2017

Seguridad

Disponible para: Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de raíz

Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.

CVE-2017-2451: Alex Radocea de Longterm Security, Inc.

Seguridad

Disponible para: Apple TV (4.ª generación)

Impacto: procesar un certificado x509 creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: había un problema de corrupción de memoria en el análisis de certificados. Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2017-2485: Aleksandar Nikolic de Cisco Talos

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: al procesar contenido web creado con fines malintencionados se podrían filtrar datos de diversos orígenes

Descripción: un problema de acceso al prototipo se ha solucionado mejorando la gestión de excepciones.

CVE-2017-2386: André Bargull

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric de Google Project Zero, Zheng Huang del Baidu Security Lab en colaboración con Zero Day Initiative de Trend Micro

CVE-2017-2455: Ivan Fratric de Google Project Zero

CVE-2017-2459: Ivan Fratric de Google Project Zero

CVE-2017-2460: Ivan Fratric de Google Project Zero

CVE-2017-2464: Natalie Silvanovich de Google Project Zero, Jeonghoon Shin

CVE-2017-2465: Zheng Huang y Wei Yuan de Baidu Security Lab

CVE-2017-2466: Ivan Fratric de Google Project Zero

CVE-2017-2468: lokihardt de Google Project Zero

CVE-2017-2469: lokihardt de Google Project Zero

CVE-2017-2470: lokihardt de Google Project Zero

CVE-2017-2476: Ivan Fratric de Google Project Zero

CVE-2017-2481: 0011 en colaboración con la Zero Day Initiative de Trend Micro

Entrada actualizada el 20 de junio de 2017

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2017-2415: Kai Kang de Xuanwu Lab de Tencent (tencent.com)

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un consumo alto de memoria

Descripción: se ha solucionado un problema de consumo de recursos incontrolado mejorando el procesamiento de una expresión regular.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

Descripción: había un problema de validación en la gestión de las cargas de página. El problema se ha solucionado mejorando la lógica.

CVE-2017-2367: lokihardt de Google Project Zero

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios

Descripción: existía un problema lógico en la gestión de objetos de marco. Se ha solucionado este problema mediante la mejora de la gestión del estado.

CVE-2017-2445: lokihardt de Google Project Zero

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: existía un problema lógico en la gestión de funciones de modo estricto. Se ha solucionado este problema mediante la mejora de la gestión del estado.

CVE-2017-2446: Natalie Silvanovich de Google Project Zero

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: visitar un sitio web creado con fines malintencionados podría comprometer la información de los usuarios

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-2447: Natalie Silvanovich de Google Project Zero

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2017-2463: Kai Kang (4B5F5F4B) del Xuanwu Lab de Tencent (tencent.com) en colaboración con el equipo de la iniciativa Zero-Day de Trend Micro

Entrada añadida el 28 de marzo de 2017

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios

Descripción: existía un problema lógico en la gestión del marco. Para resolver este problema se ha mejorado la gestión de estado.

CVE-2017-2475: lokihardt de Google Project Zero

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: al procesar contenido web creado con fines malintencionados se podrían filtrar datos de diversos orígenes

Descripción: se producía un problema de validación en el tratamiento de elementos. Para resolver este problema se ha mejorado la validación.

CVE-2017-2479: lokihardt de Google Project Zero

Entrada añadida el 28 de marzo de 2017

WebKit

Disponible para: Apple TV (4.ª generación)

Impacto: al procesar contenido web creado con fines malintencionados se podrían filtrar datos de diversos orígenes

Descripción: se producía un problema de validación en el tratamiento de elementos. Para resolver este problema se ha mejorado la validación.

CVE-2017-2480: lokihardt de Google Project Zero

CVE-2017-2493: lokihardt de Google Project Zero

Entrada actualizada el 24 de abril de 2017

Otros agradecimientos

XNU

Queremos agradecer a Lufeng Li de Qihoo 360 Vulcan Team su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: