Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Apple TV 7
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Un atacante podía obtener credenciales Wi-Fi.
Descripción: Un atacante podía hacerse pasar por un punto de acceso Wi-Fi, ofrecer autenticarse con LEAP, romper el hash MS-CHAPv1 y usar las credenciales derivadas para autenticarse en dicho punto de acceso, incluso si este admitía métodos de autenticación más seguros. Este problema se solucionó eliminando la compatibilidad con LEAP.
ID CVE
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax y Wim Lamotte de la Universidad de Hasselt
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Un atacante con acceso a un dispositivo podía acceder a información de usuario confidencial desde los registros.
Descripción: Los registros contenían información confidencial del usuario. Este problema se solucionó reduciendo la cantidad de información registrada.
ID CVE
CVE-2014-4357: Heli Myllykoski de OP-Pohjola Group
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Un atacante con una posición de red privilegiada podía hacerle creer a un dispositivo que estaba actualizado aunque no fuera cierto.
Descripción: Existía un problema de validación en el manejo de las respuestas de comprobación de actualizaciones. Se empleaban fechas falsas para los encabezados de respuesta Last-Modified (Fecha de última modificación) configurados con fechas futuras para las comprobaciones If-Modified-Since (Si no se modifican desde) en posteriores solicitudes de actualización. Este problema se solucionó validando el encabezado Last-Modified (Fecha de última modificación).
ID CVE
CVE-2014-4383: Raul Siles de DinoSec
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: La apertura de un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de enteros en el manejo de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: La apertura de un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de la app o la divulgación de información.
Descripción: Existía un problema de lectura de memoria fuera de los límites en el manejo de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP
- Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app podía provocar el cierre inesperado del sistema.
Descripción: Existía un problema de falta de referencia de puntero nulo en el manejo de argumentos de la API IOAcceleratorFamily. Este problema se solucionó mejorando la validación de los argumentos de la API IOAcceleratorFamily.
ID CVE
CVE-2014-4369: Sarah, alias “winocm”, y Cererdlong de Alibaba Mobile Security Team
Entrada agregada el 3 de febrero de 2020
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: El dispositivo podía reiniciarse de manera inesperada.
Descripción: Existía un problema de falta de referencia de puntero nulo en el driver IntelAccelerator. Este problema se solucionó mejorando el manejo de errores.
ID CVE
CVE-2014-4373: cunzhang de Adlab de Venustech
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app creada con fines malintencionados podía leer punteros del kernel que se podían emplear para eludir la aleatorización del espacio de direcciones del kernel.
Descripción: Existía un problema de lectura fuera de límites en el manejo de una función IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4379: Ian Beer de Google Project Zero
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app malintencionada podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un desbordamiento del búfer en el manejo de propiedades key-mapping por parte de IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4404: Ian Beer de Google Project Zero
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app malintencionada podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de falta de referencia de puntero nulo en el manejo de propiedades key-mapping por parte de IOHIDFamily. Este problema se solucionó mejorando la validación de las propiedades key-mapping de IOHIDFamily.
ID CVE
CVE-2014-4405: Ian Beer de Google Project Zero
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app malintencionada podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existía un problema de escritura fuera de límites en la extensión de kernel de IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4380: cunzhang de Adlab de Venustech
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app maliciosa podía leer datos no inicializados de la memoria del kernel.
Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de funciones IOKit. Este problema se solucionó mediante una mejora de la inicialización de la memoria.
ID CVE
CVE-2014-4407: @PanguTeam
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app malintencionada podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de validación en el manejo de determinados campos de metadatos de objetos IODataQueue. Este problema se solucionó mejorando la validación de metadatos.
ID CVE
CVE-2014-4418: Ian Beer de Google Project Zero
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app malintencionada podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de validación en el manejo de determinados campos de metadatos de objetos IODataQueue. Este problema se solucionó mejorando la validación de metadatos.
ID CVE
CVE-2014-4388: @PanguTeam
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app malintencionada podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un desbordamiento de números enteros en el manejo de funciones IOKit. Para solucionar este problema, se mejoró la validación de los argumentos de la API IOKit.
ID CVE
CVE-2014-4389: Ian Beer de Google Project Zero
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Un usuario local podía determinar el diseño de memoria del kernel.
Descripción: Existían múltiples problemas de memoria no inicializada en la interfaz de estadísticas de red, los cuales provocaban la divulgación de contenido de la memoria del kernel. Este problema se solucionó mediante la inicialización adicional de la memoria.
ID CVE
CVE-2014-4371: Fermin J. Serna de Google Security Team
CVE-2014-4419: Fermin J. Serna de Google Security Team
CVE-2014-4420: Fermin J. Serna de Google Security Team
CVE-2014-4421: Fermin J. Serna de Google Security Team
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una persona con una posición de red privilegiada podía provocar una denegación de servicio.
Descripción: Existía un problema de condición de carrera en el manejo de paquetes IPv6. Para resolver este problema, se mejoró la comprobación del estado de bloqueo.
ID CVE
CVE-2011-2391: Marc Heuse
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Un usuario local podía provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel.
Descripción: Existía un problema de vulnerabilidad "double free" en el manejo de puertos Mach. Este problema se solucionó mediante la mejora de la validación de puertos Mach.
ID CVE
CVE-2014-4375
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Un usuario local podía provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel.
Descripción: Existía un problema de lectura fuera de los límites en rt_setgate. Esto podía provocar la divulgación o el daño de la memoria. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4408
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Algunas medidas de refuerzo del kernel podían eludirse.
Descripción: El generador de números aleatorios “early” usado en determinadas medidas de endurecimiento del kernel no era criptográficamente seguro y parte de su salida se exponía al espacio del usuario, lo que permitía eludir las medidas de endurecimiento. Este problema se solucionó reemplazando el generador de números aleatorios por un algoritmo criptográficamente seguro y usando un núcleo de 16 bytes.
ID CVE
CVE-2014-4422: Tarjei Mandt de Azimuth Security
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Una app malintencionada podía ejecutar código arbitrario con privilegios de usuario raíz.
Descripción: Existía un problema de escritura fuera de los límites en Libnotify. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4381: Ian Beer de Google Project Zero
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Un usuario local podía modificar los permisos de archivos arbitrarios.
Descripción: syslogd seguía enlaces simbólicos mientras cambiaba los permisos de los archivos. Este problema se solucionó mejorando el manejo de enlaces simbólicos.
ID CVE
CVE-2014-4372: Tielei Wang y YeongJin Jang de Georgia Tech Information Security Center (GTISC)
Apple TV
Disponible para Apple TV (tercera generación y posteriores)
Impacto: Un atacante con una posición de red privilegiada podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.
ID CVE
CVE-2013-6663: Atte Kettunen de OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel de Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple