Acerca del contenido de seguridad de tvOS 9.2
En este documento, se describe el contenido de seguridad de tvOS 9.2.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
tvOS 9.2
FontParser
Disponible para Apple TV (cuarta generación)
Impacto: Abrir un archivo PDF creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.
ID CVE
CVE-2016-1740: HappilyCoded (ant4g0nist y r3dsm0k3) en colaboración con Zero Day Initiative (ZDI) de Trend Micro
HTTPProtocol
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante remoto podría ejecutar código arbitrario
Descripción: Existían diversas vulnerabilidades en las versiones de nghttp2 anteriores a 1.6.0; la más grave podría haber derivado en la ejecución remota del código. Para solucionar esto, se actualizó nghttp2 a la versión 1.6.0.
ID CVE
CVE-2015-8659
IOHIDFamily
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podría determinar la distribución de la memoria del kernel
Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.
ID CVE
CVE-2016-1748: Brandon Azad
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionó un problema en el uso después de la liberación mejorando el manejo de la memoria.
ID CVE
CVE-2016-1750: CESG
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionaron varios desbordamientos de enteros mejorando la validación de la entrada.
ID CVE
CVE-2016-1753: Juwei Lin Trend Micro en colaboración con Zero Day Initiative (ZDI) de Trend Micro
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podría omitir la firma de código
Descripción: Existía un problema de permisos debido al cual se otorgaba un permiso de ejecución de manera incorrecta. Para solucionar este problema, se mejoró la validación de permisos.
ID CVE
CVE-2016-1751: Eric Monti de Square Mobile Security
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
ID CVE
CVE-2016-1754: Lufeng Li de Qihoo 360 Vulcan Team
CVE-2016-1755: Ian Beer de Google Project Zero
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podría provocar una denegación de servicio
Descripción: Se solucionó un problema de denegación del servicio mejorando la validación.
ID CVE
CVE-2016-1752: CESG
libxml2
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de XML creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
ID CVE
CVE-2015-1819
CVE-2015-5312: David Drysdale de Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany de Google
CVE-2015-7942: Kostya Serebryany de Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1762
Seguridad
Disponible para Apple TV (cuarta generación)
Impacto: Procesar un certificado creado con fines maliciosos podría ocasionar la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el decodificador ASN.1. Para solucionar este problema, se mejoró la validación de entradas.
ID CVE
CVE-2016-1950: Francis Gabriel de Quarkslab
TrueTypeScaler
Disponible para Apple TV (cuarta generación)
Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de tipos de letra. Para solucionar este problema, se mejoró la validación de entradas.
ID CVE
CVE-2016-1775: 0x1byte en colaboración con Zero Day Initiative (ZDI) de Trend Micro
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podría ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.
ID CVE
CVE-2016-1783: Mihai Parparita de Google
Historial de WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podría ocasionar un bloqueo inesperado de Safari
Descripción: Se solucionó un problema de agotamiento de recursos mejorando la validación de entradas.
ID CVE
CVE-2016-1784: Moony Li y Jack Tang de Trend Micro y 李普君 de 无声信息技术PKAV Team (PKAV.net)
Wi-Fi
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante con una posición de red privilegiada podría ejecutar código arbitrario
Descripción: Existía un problema de daños en la memoria y de validación de tramas para un EtherType determinado. Este problema se solucionó por medio de una validación adicional del EtherType y la mejora del manejo de la memoria.
ID CVE
CVE-2016-0801: Un investigador anónimo
CVE-2016-0802: Un investigador anónimo
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.