Acerca del contenido de seguridad de la actualización de software de Apple TV 4.4
En este documento, se describe el contenido de seguridad de la actualización de software de Apple TV 4.4.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple.
Actualización de software de Apple TV 4.4
Apple TV
Disponible para Apple TV 4.0 hasta 4.3
Impacto: Un atacante con una posición de red privilegiada podía interceptar las credenciales del usuario u otra información confidencial.
Descripción: Varias autoridades de certificación operadas por DigiNotar emitieron certificados fraudulentos. Para solucionar este problema, se eliminó DigiNotar de la lista de certificados raíz de confianza, de la lista de autoridades de certificados de Validación ampliada (EV), y se estableció la configuración de confianza del sistema predeterminado para que los certificados DigiNotar, incluidos los emitidos por otras autoridades, no sean de confianza.
Apple TV
Disponible para Apple TV 4.0 hasta 4.3
Impacto: La compatibilidad con certificados X.509 con hashes MD5 podía exponer a los usuarios a la suplantación de identidad y divulgación de información a medida que mejoraban los ataques.
Descripción: iOS aceptó los certificados firmados con el algoritmo hash MD5. Este algoritmo tiene debilidades criptográficas conocidas. Una investigación adicional o una autoridad de certificación mal configurada podrían haber permitido la creación de certificados X.509 con valores controlados por el atacante en los que el sistema habría confiado. Esto habría expuesto los protocolos basados en X.509 a la suplantación de identidad, a ataques de intermediarios y a la divulgación de información. Esta actualización deshabilita la compatibilidad con un certificado X.509 con un hash MD5 para cualquier uso que no sea el de un certificado raíz confiable.
CVE-ID
CVE-2011-3427
Apple TV
Disponible para Apple TV 4.0 hasta 4.3
Impacto: Un atacante podía descifrar parte de una conexión SSL.
Descripción: Solo se admitían las versiones SSLv3 y TLS 1.0 de SSL. Estas versiones estaban sujetas a una debilidad del protocolo cuando usaban cifrados en bloque. Un atacante intermediario podría haber inyectado datos no válidos, lo cual hubiese hecho que la conexión se cerrara, pero se hubiese revelado cierta información sobre los datos anteriores. Si se intentó la misma conexión de forma reiterada, es posible que el atacante finalmente haya podido descifrar los datos enviados, como una contraseña. Este problema se solucionó agregando compatibilidad para TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
Disponible para Apple TV 4.0 hasta 4.3
Impacto: Visualizar una imagen TIFF creada con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer en el manejo por parte de libTIFF de imágenes TIFF codificadas en el Grupo 4 del CCITT.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Disponible para Apple TV 4.0 hasta 4.3
Impacto: Visualizar una imagen TIFF creada con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de montón en el manejo por parte de ImageIO de imágenes TIFF codificadas en el Grupo 4 del CCITT.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX de Tessi Technologies
Apple TV
Disponible para Apple TV 4.0 hasta 4.3
Impacto: Un atacante remoto podía ocasionar un restablecimiento del dispositivo.
Descripción: El kernel no pudo recuperar memoria de conexiones TCP incompletas de forma oportuna. Un atacante con la capacidad de conectarse a un servicio de escucha en un dispositivo iOS podía agotar recursos del sistema.
CVE-ID
CVE-2011-3259: Wouter van der Veer de Topicus I&I y Josh Enders
Apple TV
Disponible para Apple TV 4.0 hasta 4.3
Impacto: Un atacante con una posición de red privilegiada podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de montón de un byte en el manejo de datos XML por parte de libxml.
CVE-ID
CVE-2011-0216: Billy Rios de Google Security Team
Apple TV
Disponible para Apple TV 4.0 hasta 4.3
Impacto: Un atacante con una posición de red privilegiada podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en JavaScriptCore.
CVE-ID
CVE-2011-3232: Aki Helin de OUSPG
Importante: la mención de sitios web y productos de terceros tiene solo fines informativos y no constituye un respaldo ni una recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que se encuentran en sitios web de terceros. Apple lo proporciona solo para comodidad de nuestros usuarios. Apple no ha probado la información que se encuentra en estos sitios y no hace declaraciones con respecto a su precisión o confiabilidad. Existen riesgos inherentes al uso de cualquier información o producto que se encuentre en Internet, y Apple no asume ninguna responsabilidad al respecto. Ten en cuenta que un sitio de terceros es independiente de Apple y que Apple no tiene control sobre el contenido de ese sitio web. Comunícate con el proveedor para obtener más información.