Acerca del contenido de seguridad de tvOS 13.4.5
En este documento se describe el contenido de seguridad de tvOS 13.4.5.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
tvOS 13.4.5
Accounts
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación de entrada.
CVE-2020-9827: Jannik Lorenz de SEEMOO en TU Darmstadt
AppleMobileFileIntegrity
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación creada con fines malintencionados podría interactuar con los procesos del sistema para acceder a información privada y llevar a cabo acciones privilegiadas.
Descripción: se ha solucionado un problema de análisis de autorización mejorando el análisis.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9815: Yu Zhou (@yuzhou6666) en colaboración con Zero Day Initiative de Trend Micro
Audio
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9791: Yu Zhou (@yuzhou6666) en colaboración con Zero Day Initiative de Trend Micro
CoreText
Disponible para: Apple TV 4K y Apple TV HD
Impacto: procesar un mensaje de texto creado con fines malintencionados podría provocar la denegación del servicio.
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2020-9829: Aaron Perris (@aaronp613), un investigador anónimo, Carlos S Tech, Sam Menzies de Sam's Lounge, Sufiyan Gouri de Lovely Professional University (India) y Suleman Hasan Rathor de Arabic-Classroom.com
FontParser
Disponible para: Apple TV 4K y Apple TV HD
Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9816: Peter Nguyen Vu Hoang de STAR Labs en colaboración con Zero Day Initiative de Trend Micro
ImageIO
Disponible para: Apple TV 4K y Apple TV HD
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-3878: Samuel Groß de Google Project Zero
ImageIO
Disponible para: Apple TV 4K y Apple TV HD
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9789: Wenchao Li de VARAS@IIE
CVE-2020-9790: Xingwei Lin de Ant-financial Light-Year Security Lab
IPSec
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un atacante remoto podría filtrar memoria.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9837: Thijs Alkemade de Computest
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9821: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de memoria de otra aplicación.
Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.
CVE-2020-9797: investigador anónimo
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-9852: Tao Huang y Tielei Wang de Pangu Lab
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-9795: Zhuo Liang de Qihoo 360 Vulcan Team
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación podría ser capaz de provocar el cierre inesperado del sistema o la escritura de la memoria del kernel
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9808: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado un problema de divulgación de información mejorando la gestión del estado.
CVE-2020-9811: Tielei Wang de Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: un problema lógico provocaba la corrupción de la memoria. Este problema se ha solucionado mejorando la gestión del estado.
CVE-2020-9813: Xinru Chi de Pangu Lab
CVE-2020-9814: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: se ha solucionado un problema de divulgación de información mejorando la gestión del estado.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación creada con fines malintencionados podría sobrescribir archivos arbitrarios.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2020-9994: Apple
rsync
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un atacante remoto podría sobrescribir los archivos existentes.
Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Se ha resuelto este problema mejorando la validación de los enlaces simbólicos.
CVE-2014-9512: gaojianfeng
Security
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2020-9854: Ilias Morad (A2nkF)
SQLite
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación creada con fines malintencionados podría provocar una denegación de servicio o difundir contenido de la memoria.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9794
System Preferences
Disponible para: Apple TV 4K y Apple TV HD
Impacto: una aplicación podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2020-9839: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9805: investigador anónimo
WebKit
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9802: Samuel Groß de Google Project Zero
WebKit
Disponible para: Apple TV 4K y Apple TV HD
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9850: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un ataque de ejecución de secuencias de comandos entre sitios
Descripción: se ha solucionado un problema de validación de las entradas mejorando dicha validación.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2020-9803: Wen Xu de SSLab en Georgia Tech
WebKit
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9806: Wen Xu de SSLab en Georgia Tech
CVE-2020-9807: Wen Xu de SSLab en Georgia Tech
WebKit
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
CVE-2020-9800: Brendan Draper (@6r3nd4n) en colaboración con Zero Day Initiative de Trend Micro
WebRTC
Disponible para: Apple TV 4K y Apple TV HD
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado un problema de acceso mejorando la gestión de la memoria.
CVE-2019-20503: natashenka de Google Project Zero
Otros agradecimientos
CoreText
Nos gustaría expresar nuestro agradecimiento a Jiska Classen (@naehrdine) y Dennis Heinze (@ttdennis) de Secure Mobile Networking Lab por su ayuda.
ImageIO
Nos gustaría expresar nuestro agradecimiento a Lei Sun por su ayuda.
IOHIDFamily
Nos gustaría expresar nuestro agradecimiento a Andy Davis de NCC Group por su ayuda.
IPSec
Nos gustaría expresar nuestro agradecimiento a Thijs Alkemade de Computest por su ayuda.
Kernel
Queremos dar las gracias por su ayuda a Brandon Azad del Google Project Zero.
Safari
Nos gustaría expresar nuestro agradecimiento a Luke Walker de Manchester Metropolitan University por su ayuda.
WebKit
Nos gustaría expresar nuestro agradecimiento a Aidan Dunlap de UT Austin por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.