Acerca del contenido de seguridad de tvOS 12.2

Este documento describe el contenido de seguridad de tvOS 12.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 12.2

Disponible el 25 de marzo de 2019

802.1X

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: Un atacante con una posición de red privilegiada podría ser capaz de interceptar el tráfico de red

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2019-6203: Dominic White de SensePost (@singe)

Entrada añadida el 15 de abril de 2019

CFString

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: procesar una cadena creada con fines malintencionados podría originar la denegación del servicio

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2019-8516: SWIPS Team de Frifee Inc.

configd

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación maliciosa podría elevar los privilegios

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

CoreCrypto

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación maliciosa podría elevar los privilegios

Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.

CVE-2019-8542: investigador anónimo

file

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar que se revelara información del usuario

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2019-8906: Francisco Alonso

Entrada actualizada el 15 de abril de 2019

Foundation

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación podría obtener privilegios de alto nivel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2019-7286: investigador anónimo, Clement Lecigne de Google Threat Analysis Group, Ian Beer de Google Project Zero y Samuel Groß de Google Project Zero

GeoServices

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: hacer clic en un enlace de SMS creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2019-8553: investigador anónimo

iAP

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación maliciosa podría elevar los privilegios

Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.

CVE-2019-8542: investigador anónimo

IOHIDFamily

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2019-8545: Adam Donenfeld (@doadam) de Zimperium zLabs Team

Kernel

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel

Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.

CVE-2019-8527: Ned Williamson de Google y derrek (@derrekr6)

Kernel

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) de Qihoo 360 Vulcan Team

Entrada añadida el 3 de abril de 2019

Kernel

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2019-8540: Weibo Wang (@ma1fan) de Qihoo 360 Nirvan Team

Kernel

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación podría obtener privilegios de alto nivel

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2019-8514: Samuel Groß de Google Project Zero

Kernel

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: un usuario local podría leer la memoria de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-7293: Ned Williamson de Google

Kernel

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel

Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Se ha solucionado mejorando la validación de las entradas.

CVE-2019-6207: Weibo Wang de Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser de Antid0te UG

Gestión de la alimentación

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

Descripción: existían varios problemas de validación de entradas en código MIG generado. Estos problemas se han solucionado mejorando la validación.

CVE-2019-8549: Mohamed Ghannam (@_simo36) de SSD Secure Disclosure (ssd-disclosure.com)

Siri

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación creada con fines malintencionados podría ser capaz de iniciar una solicitud de Dictado sin la autorización del usuario

Descripción: existía un problema de API en la gestión de las solicitudes de Dictado. Este problema se ha solucionado mejorando la validación de las direcciones.

CVE-2019-8502: Luke Deshotels de la Universidad Estatal de Carolina del Norte, Jordan Beichler de la Universidad Estatal de Carolina del Norte, William Enck de la Universidad Estatal de Carolina del Norte, Costin Carabaș de la Universidad POLITEHNICA de Bucarest, y Răzvan Deaconescu de la Universidad POLITEHNICA de Bucarest

TrueTypeScaler

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2019-8517: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios

Descripción: se ha solucionado un problema de lógica mejorando la validación.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2019-8535: Zhiyang Zeng (@Wester) de Tencent Blade Team

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2019-6201: dwfault, en colaboración con ADLab de Venustech

CVE-2019-8518: Samuel Groß de Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev en colaboración con Trend Micro Zero Day Initiative

CVE-2019-8558: Samuel Groß de Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2019-8562: Wen Xu de SSLab en Georgia Tech y Hanqing Zhao de Chaitin Security Research Lab

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría revelar información confidencial del usuario

Descripción: existía un problema de orígenes cruzados con la API de obtención. Se ha solucionado mejorando la validación de las entradas.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8536: Apple

CVE-2019-8544: investigador anónimo

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2019-7285: dwfault, en colaboración con ADLab de Venustech

CVE-2019-8556: Apple

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2019-8506: Samuel Groß de Google Project Zero

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: un sitio web creado con fines malintencionados podría ejecutar scripts en el contexto de otro sitio

Descripción: se ha solucionado un problema de lógica mejorando la validación.

CVE-2019-8503: Linus Särud de Detectify

WebKit

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2019-7292: Zhunki y Zhiyi Zhang de 360 ESG Codesafe Team

XPC

Disponible para: Apple TV 4K y Apple TV HD previamente Apple TV (4.ª generación)

Impacto: una aplicación creada con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2019-8530: CodeColorist de Ant-Financial LightYear Labs

Otros agradecimientos

Kernel

Queremos dar las gracias a Brandon Azad de Google Project Zero por su ayuda.

Safari

Queremos mostrar nuestro agradecimiento por su ayuda a Nikhil Mittal (@c0d3G33k) de Payatu Labs (payatu.com).

WebKit

Queremos mostrar nuestro agradecimiento por su ayuda a Andrey Kovalev de Yandex Security Team.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: